- 博客(6)
- 收藏
- 关注
RSS订阅原创 Windows图形化应急分析工具-Hawkeye
基于golang编写的一个Windows应急分析工具,旨在帮助安全工程师快速分析当前Windows存在的潜在威胁,完成入侵分析等相关工作
2025-02-24 15:42:22
992
原创 银狐叒进化,溯源不了,清理不掉!一线应急响应工程师教你如何手工处理
下班时间看到微步发布了一篇公众号文章《银狐叒进化,溯源不了,清理不掉!》看完这个文章后,发现,咦?这个样本,一月初的时候不是处理过一个一样的案例。当时还处理的很头疼,最后根据主机现象,分析出主机落地的文件以及恶意行为,处理掉这个病毒程序。那么阅读微步发布的文章后,也更深刻了解了该病毒整体的运行机制。同时月初的时候,也发现在技术交流群中,也有小伙伴中过银狐,也讨论帮他解决过。当时未保留样本,但是很幸运,在卡饭论坛发现有大佬早在12月的时候就发现该样本,并上传至论坛。
2025-02-17 09:00:00
722
原创 病毒查杀-守护解放西?银狐病毒?
银狐病毒类的排查,和常规病毒排查基本没什么区别,主要是变种较快,排查过程中,合理使用常见应急工具,分析进程是什么拉起来的,那么就能够快速定位出恶意的程序。
2025-02-15 12:24:00
707
原创 源码学习基于golang的LKM rootkit检测方案,简单又粗暴
1、遍历所有 PID:DecloakPIDs 函数从 1 到 4194304 遍历所有可能的 PID。2、检查每个 PID:对于每个 PID,调用 IsPidHidden 函数进行检查。3、读取映射信息:在 IsPidHidden 中,首先尝试读取 /proc/PID/maps 文件。如果该文件存在且有内容,说明该进程可能是活动的。4、检查目录可访问性:接下来,使用 os.Lstat 检查 /proc/PID 目录是否可访问。如果无法访问,说明该进程可能被隐藏。
2025-02-14 20:54:01
835
原创 事件响应-工具源码学习--beaconEye扫描原理
然后就是开始根据获取到的进程信息进行循环,遍历所有进程,跳过自身进程,对每个进程通过NewProcessScan函数初始化进程扫描相关信息,根据进程是32位还是64位选择合适的matchArray和nextArray,并调用processScan.SearchMemory函数将相关信息发送到searchIn通道,触发对该进程内存的搜索。总的原理,获取内存信息,利用sundy算法实现规则数组与内存信息的快速匹配(从文本的左端开始,将模式串与文本对齐。),从而实现C2进程的检索。方便后续在内存中进行扫描。
2025-02-14 20:46:22
995
原创 必看!企业级 Linux 挖矿实战揭秘,附应急专杀编写攻略
以上案例主要入侵方式还是通过ssh爆破,尤其是遇到这种大批量被横向爆破的时候,可以分析病毒的特征针对性的编写专杀,根据个人习惯,适当选择相应的脚本程序,来达到降低工作量的目的。
2025-02-13 10:19:02
334
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人