- 博客(37)
- 资源 (18)
- 收藏
- 关注
RSS订阅原创 熵值计算工具
是一个 Windows/Linux/macOS 通用的 PE 分析工具,支持计算熵值。是一个 Windows 下的 PE 分析工具,可以查看 PE 文件各个部分的熵值。是 McAfee 提供的一个免费二进制分析工具,支持计算熵值。是一个常用于分析固件的工具,但也可以用来计算文件的熵值。提供在线工具计算熵。
2025-03-30 08:19:12
317
原创 通过Hook关键API识别加密和解密行为
`Cobalt Strike` 使用 `HeapAlloc` 分配内存,随后调用 `RtlDecompressBuffer` 解密 shellcode。- `Meterpreter` 会使用 `VirtualAlloc` 申请内存,并用 `xor` 进行解密。- `Emotet`、`TrickBot` 等银行木马,使用 `CryptDecrypt` 进行解密。当恶意软件运行时,如果 Hook 到这些 API,且调用链表明某个数据块。
2025-03-30 08:17:30
94
原创 如何识别shellcode是否加密,加密的方式 和如何解密
在分析恶意软件样本时,识别 shellcode 是否加密以及其加密方式是至关重要的步骤。以下是具体的方法、常见的加密技术以及解密的方法,并结合示例进行说明。通常,shellcode 需要在目标进程中执行,因此在解密后会出现可执行的指令。如果 shellcode 经过 AES 加密,通常会在内存中找到密钥或。如果你有特定的恶意软件样本或代码,可以提供,我可以帮你分析解密方法!
2025-03-30 08:16:41
538
原创 Windows数字取证中ActivityCache(活动缓存)
ActivityCache 是 Windows 系统中高价值的取证对象,能够为行为分析、威胁检测和事件回溯提供关键证据。其结构化数据(SQLite 数据库)和丰富的上下文信息,使其在复杂案件调查中具有不可替代的作用。是一个关键的取证数据源,记录了用户行为、应用使用记录和系统交互信息。若数据库文件被加密或损坏,可通过内存取证工具(如 Volatility)提取未加密的缓存片段。在数字取证中,Windows 系统的。使用 SQLite 工具(如。
2025-03-25 19:44:14
969
原创 Windows 计划任务服务(Task Scheduler)
(Network Services),该组包含 20+ 系统服务,如计划任务、DHCP、DNS 等。Windows 核心进程,用于托管系统服务(通过 DLL 文件运行服务逻辑)。的服务,即 Windows 计划任务服务(Task Scheduler)。运行(Protected Mode),限制服务权限以提高安全性。的标准启动命令,通常用于管理系统定时任务。
2025-03-25 19:42:52
503
原创 Windows 事件日志中登录类型(Logon Type)
Windows 登录类型(Logon Type)用于标识用户通过何种方式登录到系统,在安全审计日志(如Windows事件日志)中记录不同的登录行为。(Event ID 4624 或 4625),其中。理解登录类型有助于分析安全事件和排查问题。中,登录事件通常记录在。
2025-03-21 21:57:23
407
原创 Windows安全日志Defender 的配置被修改5007
当 Windows Defender 的配置(如实时保护、扫描策略、排除项等)被手动或通过策略修改时,系统会记录此事件。
2025-03-16 12:52:26
526
原创 微软 System Center Configuration Manager(SCCM)的组件文件
是微软企业级管理工具 SCCM/MECM 的合法组件,用于自动化系统部署和维护。在企业环境中可放心忽略,但个人设备中若意外出现需谨慎排查。的组成部分,用于在企业网络中集中管理计算机(如软件部署、系统更新、操作系统镜像分发等)。负责与 SCCM 服务器通信,提交客户端状态信息(如软件安装进度、系统配置报告等)。的组件文件,属于企业级设备管理工具的一部分。是 SCCM/MECM 客户端的默认安装目录,管理操作系统部署或系统配置的。
2025-03-14 19:25:54
548
原创 Windows 系统应用程序控制工具AppLocker
是 Windows 系统中的应用程序控制工具,通过定义规则限制用户或组可以运行的应用程序(EXE、脚本、安装包等)。它适用于企业环境,帮助管理员防止未授权软件的执行,提升终端安全。
2025-03-12 20:42:55
273
原创 微软程序控制机制WDAC
WDAC(Windows Defender Application Control)是微软推出的一种应用程序控制机制,主要用于提升Windows系统的安全性。
2025-03-12 20:40:23
318
原创 基于WinSW的创建服务的脚本攻击
WinSW()是一个开源的实用工具,用于将任何可执行程序(如脚本、Java应用等)包装成Windows服务。WinSW.exe建议结合(如监控服务创建后立即生成计划任务)和(检测服务进程的异常外联)。对于关键系统,应禁用非必要服务安装权限。
2025-03-12 14:46:13
798
原创 SIFT Workstation
SIFT 工作站是一系列免费的开源事件响应和取证工具,旨在在各种环境中执行详细的数字取证检查。它可以匹配任何当前的事件响应和取证工具套件。SIFT 表明,高级事件响应能力和深入的数字取证技术可以使用免费提供且经常更新的尖端开源工具来实现。
2025-03-12 11:35:51
878
原创 利用微软的 HTML 应用程序宿主程序的攻击
mshta.exe是微软的(Microsoft HTML Application Host),属于 Windows 系统组件。它的核心功能是运行.hta(HTML Application)文件,允许通过 HTML、JavaScript、VBScript 等技术创建交互式图形界面应用。
2025-03-11 11:51:48
534
原创 DNS Beaconing
到受控的域名服务器(C&C服务器),实现与恶意软件的隐蔽通信、数据传输或指令下发。由于 DNS 协议是网络基础服务,这类流量往往较难被传统防火墙检测到。“DNS Beaconing” 是一种隐蔽的网络通信技术,通常与恶意软件(如木马、僵尸网络)相关。
2025-03-09 21:10:35
332
原创 Windows 操作系统用户账户控制(UAC)
会根据程序的行为和配置自动判断是否需要管理员权限。:如果软件尝试执行以下操作,系统会自动触发 UAC。)需要管理员权限,因此会自动触发 UAC。在 Windows 操作系统中,软件是否需要 UAC 取决于。:系统默认认为安装程序(如。:软件开发者可以在程序的。
2025-03-07 14:40:13
324
原创 Living Off The Land Drivers(LOTL Drivers)深度解析
Living Off The Land Drivers(LOTL Drivers)是"Living Off The Land"(LOTL)攻击技术在操作系统驱动层面的延伸,指攻击者通过滥用目标系统中已存在的合法驱动程序(尤其是存在漏洞或设计缺陷的驱动)来实现恶意目的。这类驱动通常由微软或第三方厂商签名认证,具备系统内核级权限,因此可被攻击者利用来绕过安全检测、提权或执行隐蔽操作。LOTL Drivers代表了高级威胁中"合法武器化"的终极形态,其内核级权限和隐蔽性使其成为APT攻击的核心工具。
2025-03-06 20:38:10
588
原创 AADC(Azure AD Connect)同步 本地 AD 和 Azure AD 数据
微软的 AADC()是用于在和之间同步数据的工具。它的主要作用是将本地 AD 用户、组等信息同步到 Azure AD,以便在云端(如 Microsoft 365、Azure 等服务)使用相同的账户进行身份验证和访问控制。AADC 主要用来公司同时使用 Microsoft 365(例如 Outlook 邮箱、Teams 等)。如果使用如果你的企业同时使用本地服务器和 Azure 云服务,AADC 是一个非常重要的工具,可以帮助你统一用户身份、简化管理、提升安全性。
2025-03-06 09:53:18
722
原创 MDI专注于监控和检测 本地 Active Directory(AD)环境 中的身份威胁
Microsoft Defender for Identity 是微软提供的一款基于云的安全解决方案,旨在通过监控和分析本地及混合环境中的身份活动,检测和应对基于身份的高级威胁。
2025-03-05 22:34:25
669
原创 微软程序的打包格式MSIX
综上,MSIX代表了微软在应用分发领域的革新,通过技术整合与生态建设平衡了安全、效率与兼容性,但其全面普及仍需时间和技术迭代。
2025-03-05 21:34:21
494
原创 微软 RSAT(Remote Server Administration Tools)
而无需直接登录到服务器本机。RSAT 适用于 IT 管理员,通常安装在 Windows 客户端(如 Windows 10/11 专业版或企业版),以便管理 Windows Server 服务器。RSAT(Remote Server Administration Tools,远程服务器管理工具)是微软提供的一套工具,用于。RSAT 包含多个管理工具,主要用于。
2025-03-04 20:25:56
374
原创 微软MDE使用KQL来生成时间序列图
在 Microsoft Defender for Endpoint (MDE) Advanced Hunting 中,可以使用 KQL (Kusto Query Language) 查询网络连接,并使用 Timechart (时间序列图) 进行图形化展示。
2025-02-26 17:20:36
245
原创 微软数据治理Purview通俗解释
Microsoft Purview 是一个强大的工具,适用于所有企业需要进行数据治理、敏感数据保护和合规管理的场景。它帮助企业追踪数据流动、加强数据安全、并确保数据符合合规性要求。通过 Purview,企业可以实现更高效的数据管理,并降低因数据泄露或不合规行为带来的风险。是微软的一款综合性数据治理和合规管理工具,它的核心功能是帮助企业保护敏感数据,防止数据泄露,并确保数据符合相关法规与合规要求。数据治理的目标是确保企业能够有效地管理数据,增强数据的可见性和可追踪性,并且能够高效利用这些数据。
2025-02-26 16:58:16
741
原创 Base64 编码的识别和解密
decoded_str = decoded_bytes.decode("utf-8") # 尝试解码为字符串。PowerShell -encodedcommand 参数的 Base64 编码使用 UTF-16-LE(小端序)。这个字符串只包含 Base64 允许的字符,并且长度是 4 的倍数,因此很可能是 Base64 编码。如果解码成功,并且输出是可读文本,那么说明是 Base64 编码的。如果 utf-8 解码失败,改用 utf-16-le 进行解码。如果没有报错,说明是 Base64 编码。
2025-02-24 21:30:53
539
原创 uipath
UiPath 是一款 机器人流程自动化(RPA,Robotic Process Automation) 软件,主要用于 自动化重复性任务,提高工作效率。它可以模拟人工操作,比如 点击按钮、填写表单、处理 Excel 数据、访问网页、操作数据库 等,减少人工干预,提高企业的工作效率
2025-02-24 14:59:04
288
原创 Linux网络通信全能命令netstat一吨的AP
Linux网络通信查看命令使用netstatt是一个用于查看网络连接和相关进程的命令,具体含义如下:-t(TCP):显示 TCP 连接。-u:(UDP)显示 UDP 连接。-l:(listen)显示监听中的端口。-a:(all)显示所有的网络连接和监听端口。-n(numeric):显示数字格式的地址和端口。-p:(program)显示进程相关信息。
2025-02-22 20:18:13
95
原创 ISO27001 2013和2022版本对比
2022版对附录A中信息安全控制框架结构进行了重新构建,2013版的14个安全控制域合并后总结归纳为人员、物理、技术、组织四大主题,这样的分类更加简单,更加方便组织对安全控制项进行选择归类,以加强信息安全控制措施的实施。标准正文的框架性要求没有出现较大变化,主要是增加6.3变更计划,对9.2内部审计和9.3管理评审进行了调整,对第10章两个子条款的顺序进行了互换,其他个别条款进行了微调。2022版的控制项相比2013版,从114个变为93个,其中新增11个控制项,更新58个控制项,合并24个控制项。
2025-02-22 19:56:22
287
原创 Splunk SPL时间段查询的写法
在Splunk SPL中,时间段的写法主要通过 earliest 和 latest 这两个时间修饰符来定义查询的时间范围,支持绝对时间、相对时间及组合格式。
2025-02-20 14:40:28
263
原创 使用CyberChef 解密 AES 加密数据
通过以上步骤,可解密该 PowerShell 脚本中的 AES 加密数据。若仍存在问题,请提供完整加密数据以进一步分析。解密后的命令可能触发恶意行为(如下载木马),务必在虚拟机或沙箱中操作。检查数据完整性:确保 $aOFK 的十六进制字符串未被截断。若 $aOFK 数据被截断,解密会失败,需提供完整值。将 $aOFK 的完整十六进制字符串粘贴到输入框。位置:左侧搜索 From Hex,双击添加。成功标志:输出为可读的明文(如上述命令)。验证长度:16字节(AES-128)。不要直接执行解密后的代码。
2025-02-19 12:02:26
1048
原创 Metasploit Framework 后渗透工具 Meterpreter
Meterpreter 是 Metasploit Framework 中一个高度模块化的 内存驻留型后渗透工具,专为攻击后的持续控制、信息收集、权限提升和横向移动设计。
2025-02-19 10:19:35
246
原创 Metasploit Framework生成定制化的攻击载荷msfvenom
Venom 支持添加 持久化机制(如注册表启动项)、反杀毒绕过(代码混淆、加密)、权限提升(UAC 绕过)等模块。
2025-02-19 10:10:11
545
原创 Metasploit框架中msfvenom工具 macOS 建立反向 Shell 连接以实现远程控制
Mach-O 是 macOS 和 iOS 系统的可执行文件格式,类似于 Linux 的 ELF 或 Windows 的 PE 格式。上述命令生成一个 Mach-O 格式的文件(-f macho),适用于 macOS 系统,用于反弹 TCP 反向 Shell(shell_reverse_tcp),使攻击者能远程控制目标主机。总结:shell.macho 是 Metasploit 生成的 macOS 平台专用攻击载荷,通过 Mach-O 格式实现反向 Shell 连接,属于网络安全中常见的远程控制手段。
2025-02-19 09:58:20
187
数字取证领域的NTFS时间戳分析与反篡改技术
2025-02-22
数字取证与事件响应程序的设计与分析-DFIR领域的深度探究
2025-02-22
GIAC 2024认证目录:构建网络安全职业技能与领导力的全面指南
2025-02-22
解析PowerShell攻击调查:从实际案例探讨攻防技术与日志分析方法
2025-02-22
c2900-universalk9-mz.SPA.154-3.M3.bin
2019-07-03
F5 Link Controller配置指南
2019-05-16
c2960cx-universalk9-mz.152-4.E5.bin
2019-02-09
BES 1.3.8最好的CPU优化软件
2012-01-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人