- 博客(118)
- 收藏
- 关注
RSS订阅原创 【开源项目1】基于机器学习木马查杀引擎项目
最近,研究了一款名为bt-ShieldML的开源木马查杀引擎,该项目基于机器学习,专注于检测Web服务器环境中的恶意代码文件,尤其是PHP文件。项目使用Go语言实现,支持Docker部署,并提供了可视化检测平台和报告生成功能。测试结果显示,该引擎在检测PHP后门文件时表现良好,虽然存在少量误报,但整体效果令人满意。项目未来计划扩展支持ASP、JSP等多语言检测,并持续优化引擎性能。对于需要本地部署的用户,建议在内网环境中使用,以确保安全性
2025-05-23 12:17:24
286
原创 应急响应练习——第五届红明谷-异常行为溯源【手把手教学】
应急响应练习——第五届红明谷-异常行为溯源【手把手教学】题目:在企业网络安全部门的溯源分析中,工作人员发现攻击者删除了部分访问日志,但通过流量监控设备捕获了被删除的日志数据。攻击者最初尝试低密度攻击,随后进行了连续多日的攻击。通过分析捕获的流量数据,发现大量Base64加密的请求包。经过连续两次Base64解码,提取出IP地址,并统计其出现次数。最终,定位到攻击者的IP地址为35.127.46.111,其MD5哈希值为flag{md5(IP)}。
2025-05-15 22:35:38
381
原创 木马查杀篇—Opcode提取
介绍Opcode的提取方法,并探讨多种机器学习算法在Webshell检测中的应用,理解如何在实际项目中应用Opcode进行高效的Webshell检测。
2025-05-12 22:52:06
945
原创 木马查杀引擎—关键流程图
本文介绍了木马查杀引擎的研究进展,并通过流程图展示了关键实现步骤。首先,PHP AST通道的实现流程展示了如何通过抽象语法树(AST)进行代码分析。其次,木马查杀的调用逻辑图详细描述了检测和处理的步骤。最后,模型训练流程图展示了如何通过数据收集、特征提取和模型训练来优化查杀效果。这些流程图为木马查杀引擎的开发和优化提供了清晰的指导。
2025-05-12 22:37:02
460
原创 木马查杀之AST初识篇
本文围绕木马查杀领域的关键技术展开,先介绍了抽象语法树(AST)的定义,它以树状结构抽象表示源代码语法。接着阐述了 AST 分析过程,包括将源代码字符串拆分为词法单元的词法分析,以及依据语法规则构建 AST 的语法分析。随后讲解了污点追踪技术,它用于跟踪程序中数据传播,尤其是来自不可信源或关键数据,其实现方式分为在源代码或字节码级别分析的静态污点追踪,和程序运行时实时监测的动态污点追踪。
2025-03-11 22:33:07
752
原创 AMD 显卡解锁 Ollama 支持:没有 N 卡也能跑大模型
本篇就两点一是AMD 显卡解锁 Ollama 支持:没有 N 卡也能跑大模型二是安装后,运行模型出现报错"An existing connection was forcibly closed by the remote host"的最有效解决方案
2025-02-09 00:27:54
1647
原创 从O(k*n)到O(1):如何用哈希表终结多层if判断的性能困局
C代码高效实现哈希表,秒杀if多层判断 本文将以哈希表重构实战为核心,完整展示如何将**传统条件匹配逻辑**(上千层if-else判断)**转化**为O(1)的**哈希表**高效实现。通过指纹验证场景的代码级解剖,您将深入理解: 1.哈希函数设计如何规避冲突陷阱 2.链式寻址法的工程实现细节 若有出错之处,望各位大哥大姐指出(●'◡'●)
2025-02-08 23:45:03
689
原创 技术小白都能学会!3步搞定DeepSeek本地AI部署
本篇手把手教你如何用**3步轻松搞定 DeepSeek 本地部署**,跟着这个教程走下来,简直不要太顺滑!可以在30分钟内快速将deepSeek部署起来。大致分为两大部分,第一部分是三步安装法,第二部分是本地部署deepseek测试效果
2025-02-06 23:01:29
1211
原创 Linux篇gdb实战指南——调试奔溃内核
本篇主要是从三点方面,介绍gdb工具,分别是Gdb基本概念、常用命令以及实战调试。若文章存在偏差之处,望佬们指出。
2025-01-20 21:01:38
399
原创 “warning: no previous prototype for ‘xxx’ [-Wmissing-prototypes]“C代码—消除函数告警
"warning: no previous prototype for ‘xxx’ [-Wmissing-prototypes]"C代码—消除函数告警
2025-01-16 21:09:22
528
原创 kdump+Crash优雅转储内核奔溃日志+全分析流程
该文章主要记录centos/ubuntu/debian内核奔溃后,如何优雅地把内核日志转移,避免被服务器自动清空,导致排查问题时常常出现一脸懵逼。> 本次将用到三个工具:kdump+crash+vmlinux> 演示的linux版本:centos、ubuntu/debian
2025-01-14 21:43:29
650
原创 “‘struct module’ has no member named ‘core_layout’“全过程源码解析+解决方案
针对高版本内核的core_layout变量丢失的原因分析+解决方案。报错信息如下:error: ‘struct module’ has no member named ‘core_layout’if (BETWEEN_PTR(addr, kobj->mod->core_layout.base,
2025-01-14 20:55:25
362
转载 【转载】企业上云的新攻击面分析
企业上云的新攻击面分析,云安全实际包含了两大方面:云平台自身的安全,以及云上租户的安全。本文主要目的是探讨后者,也即企业上云后,相较于传统IDC等环境,作为云上租户面临的一些新攻击面。
2024-12-25 22:32:42
56
原创 Ubuntu24磁盘扩容全流程-全网最详解
linux磁盘扩容在 Ubuntu24 环境下扩展磁盘分区、调整物理卷和逻辑卷的操作流程。通过对 sda3 分区扩容、物理卷调整以及逻辑卷空间优化,实现从 30G 升级到 50G 的高效扩展,全面解决磁盘占用不足的问题。
2024-12-19 23:59:58
1393
3
原创 有关django、python版本、sqlite3版本冲突问题
解决python更换后,为何还用旧版本sqlite3版本【坑点】更新python版本,并不会让sqlite版本实时更新,依旧是调用首个python版本的sqlite3版本【影响】Django版本所需要的sqlite3版本有一定要求,版本不匹配,会出现无法运行的情况。
2024-11-19 22:56:45
782
原创 supervisor服务“Exited too quickly“解决方案
supervisor服务"Exited too quickly"解决方案
2024-11-02 11:12:39
1131
原创 Ping百度,出现“ping:baidu.com: Temporary failure in name resolution“解决方案
Ping百度,出现"ping:baidu.com: Temporary failure in name resolution"解决方案
2024-10-18 22:58:43
1689
原创 Windows TCP/IP IPv6 DDos远程蓝屏复现及修复(CVE-2024-38063)
最近,windows爆出重量级漏洞CVE-2024-38063),攻击者通过不断发送ipv6数据包,可实现远程DDOS导致目标windows直接蓝屏,或RCE。
2024-08-29 00:24:15
5387
5
原创 unicode编码存在转义字符,导致乱码问题的解决方案
【问题】后端针对一个字符串进行unicode编码后的,前端解码后出现乱码问题。本篇是为了记录一次解码出现乱码的解决方案,篇幅较短,废话不多说,请食用。unicode编码后的字符串,直接交给前端解码,会出现乱码的。后端需要做一些处理,记得做好异常抛出处理。解码后,就直接传给前端展示。
2024-08-28 22:43:45
1089
原创 def坑点:文件句柄未能正常释放
因为 defer 语句在函数结束时才会执行,而不是在每次循环结束时执行,又因为这段函数是一直在运行中的,所以是不会自动断开句柄的,导致每次恢复一个文件,就出现句柄未释放的问题,详细的参考文献:https://blog.youkuaiyun.com/micl200110041/article/details/82116440。**【结论】**def 不要在for循环,或者是无限循环代码块中使用。后面调整为手动释放,即可在每次循环结束时显式关闭文件句柄。案例:监控文件删除行为,并做文件恢复(基础版)
2024-08-17 00:40:02
345
原创 Linux快速切换内核版本-适用于全版本
linux快速切换内核版本,可升级/降级到指定内核版本,适用于ubuntu/debian,后续还会继续完善
2024-08-08 23:49:03
2696
原创 Linux镜像源更换合集【待完善】
写这篇文章,主要是为了收集和总结最近更换镜像源的经验,近期,centos停服的影响,导致很多厂商关闭了自己的镜像源,更换镜像源又是一个简单又容易出错的问题,故写下此篇,作为记录。
2024-08-08 23:29:32
605
1
原创 “version `GLIBC_2.34‘ not found“错误处理
golang本地的开发环境和引用的模块不同.结果发现编译的文件在服务器上运行报了下面的错误。
2024-08-08 00:12:35
1093
原创 go程序在windows服务中优雅开启和关闭
> 本篇主要是讲述一个go程序,如何在windows服务中优雅开启和关闭,废话不多说,开搞!!!> 使用方式:go程序 + net服务启动
2024-07-25 22:52:16
1374
2
原创 OpenSSH RCE (CVE-2024-6387) | 附poc | 小试
OpenSSH 远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
2024-07-02 21:37:28
7835
6
原创 第三篇—基于黑白样本的webshell检测
> 本篇为webshell检测的第三篇,主要讲的是基于黑白样本的webshell预测,从样本收集、特征提取、模型训练,最后模型评估这四步,实现一个简单的黑白样本预测模型。> 若有误之处,望大佬们指出
2024-06-16 15:09:19
1083
原创 webshell检测第二篇——静态检测
静态检测常见的就是两种,分别为正则匹配、文件md5匹配## Ⅰ 正则表达式 其中正则匹配时最为常见的,需要有大量的正则匹配作为检测数据,这一过程可以作为第一个进行webshell检测。下面是一个基础的正则表达式的检测方式
2024-06-16 00:29:30
393
原创 Linux—小小内核升级
- 内核(kernel):这是Linux操作系统的核心部分,它负责管理系统的硬件和软件资源,提供各种服务给软件应用程序;- 内核开发包(kernel-devel):这个包包含了内核头文件,这些文件可以用来构建内核模块- 内核头文件包(kernel-headers):这个包包含了指定Linux内核与用户空间库和程序之间的接口的C头文件。这些头文件定义了构建大多数标准程序所需的常量结构和常量
2024-06-05 23:46:17
804
原创 Webshell检测初识
属于木马其中一种类型,主要是攻击者通过web端,上传一些恶意代码文件,尝试获取服务器信息和权限的文件,一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell 大致分一句话木马、小马(通常比较简单)、大马(代码量大,可以更好获取服务器信息,但易被发现)
2024-06-03 23:26:27
319
原创 Go读取文件n行的思路之旅
【问题】最近想在一个10G的文件上读取最后100行数据,用了多种方式去实现,发现还是逆向读取比较香一点【方法】分别尝试了两种方式:双端队列和逆读文件
2024-04-19 00:19:11
612
原创 优先队列处理文件的锁定和自动解锁
最近要做一个防篡改的功能,一开始是采用事件型的方式实现的,结果发现会有一种情况"如果某个文件短时间一直被外部进行多次恶意操作"时,一直防也不是个事,应该在加一层防护—文件锁定,这样就舒服多了
2024-04-16 00:02:21
310
原创 go优雅读取zip压缩包-进阶2
看到这里就晓得了,之前那一一篇文章[go优雅读取zip压缩包]依旧还是有些问题,接下来,我就开始描述下本文章讲述的内容:> 1. 面对需要多次读取多个zip压缩包里的指定文件内容,如何提升读取的速度;> 2. 在提升速度的过程中,如何一步步找到内存占用和读取速度的平衡点;
2024-04-01 23:33:28
1277
原创 Go build 交叉编译-实现多平台兼容
✔是不是很简单呀,确实是的,接下来就解释一下【平台有哪些】、【架构有哪些】、【为什么go程序可以兼容不同架构的那些事情】直接上干货,直接执行下面的指令,将GOOS(平台)和GOARCH(架构)就可以解决大部分架构兼容问题。PC段:linux、windows、darwin(苹果系统 Mac os)、aix(IBM操作系统 如AIX 5L)程序交叉编译后就可以在各操作系统执行,非Java或Python依赖虚拟机,Go编译后不依赖虚拟机。,架构性能好,耗电多、电压高,主要用于PC机、【X86,64位是指什么?
2024-03-30 00:16:38
1343
原创 systemctl 和 ps -aux之间为什么显示的内存占用不相同?
粗略解读了下【systemctl】和【ps -aux】所输出的内存使用情况有那么大的差距,并进一度了解RSS等进程内存知识。我最近在写一个go程序的小demo,结果发现go程序占用内存太大了,尝试减低内存占用情况,结果发现……
2024-03-25 23:08:18
822
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人