unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Rss
黑夜模式
2023年全国网络安全行业职业技能大赛-电子数据取证分析师-writeup
传统电子数据取证,偏向于对犯罪事实的定性,为了提供司法证据,检材一般是查获攻击者/嫌疑人的电子产品导出的镜像文件。电子数据取证分析师初赛,以电子数据取证分析师国家职业技能标准三级为基础,包含对电子数据...
2023-12-28 20:33:0 | 阅读: 75 |
收藏
|
TahirSec
数据
监控
虚拟
数据库
e01
Linux | bedevil Rootkit取证分析研究
bedevil是基于动态共享库劫持的用户态Rootkit,网上相关分析文章很少,没有详细的取证分析文章,此文简单介绍一下bedevil相关的痕迹检测和取证方法。1. 取证对抗bedevil...
2023-12-18 20:32:8 | 阅读: 30 |
收藏
|
TahirSec
bdvl
busybox
共享
bedevil
链接库
Windows | 内存映像取证分析思路(二)
内存取证,比使用工具更重要的是遵循正确的分析过程,首要应该是找到第一个异常点。4. 内存取证分析思路第一步从进程分析开始,因为它们是内存中最重要的对象。通过仔细检查分配给每个进程的所有各种对象。第二和...
2023-6-25 18:1:28 | 阅读: 11 |
收藏
|
TahirSec
挂钩
ssdt
数据
隐藏
Windows | 内存映像取证分析思路(一)
理解内存映像文件的数据关键在于内核调试器数据块(KDBG),可以根据其指针最终找到系统的进程列表。1.理解内存映像文件 至少有两种不同的方法找到内核调试器数据块(KDBG...
2023-6-20 20:31:54 | 阅读: 11 |
收藏
|
TahirSec
windows
映像
虚拟
volatility
kdbg
Linux | SkidMap 内核态 Rootkit 取证分析
SkidMap是于2019年发现的一种 Linux 恶意软件,加载内核态Rootkit,来隐藏恶意挖矿活动 。它的出现也证明了加密货币挖掘威胁的复杂性在不断增加。1.异常定位某日,发现主机时常宕机重启...
2023-5-15 20:33:2 | 阅读: 13 |
收藏
|
TahirSec
隐藏
劫持
模块
指令
Windows | WMI攻击利用痕迹猎捕
WMI (Windows Management Instrumentation) 是 Microsoft 对 WBEM 标准的实现。WMI 开箱即用,提供了近 4000 种不同的可配置项。它旨...
2023-5-8 20:2:4 | 阅读: 18 |
收藏
|
TahirSec
mof
windows
powershell
数据
攻击
Windows | 事件日志类型总结
Windows事件日志记录主要分为安全、系统和应用程序等类型,在Vista、Win7、Server 2008,以及 Win10 和 Server 2019 扩展了自定义日志的数量,比如, PowerS...
2023-4-7 20:4:22 | 阅读: 25 |
收藏
|
TahirSec
windows
审计
信息
控制
AI之初体验—ChatGPT
ChatGPT作为一个基于自然语言处理技术的人工智能模型,可以应用于网络安全领域的各个方面。恶意代码分析,帮助安全分析师分析恶意代码,提高效率。网络入侵检测,可以识别和分析网络流量中的恶意行为,以帮助...
2023-2-21 20:32:57 | 阅读: 9 |
收藏
|
TahirSec
chatgpt
漏洞
安全
脚本
黑客
Linux | DIFR Command Cheat Sheet
防御者需要了解数以千计的方式来入侵系统,而攻击者只需要攻击成功一次。攻击者需要了解数以千计的方法来掩盖踪迹,而防御者只需要发现痕迹一次。计算机不是自发的,首先需要关注那些引起你注意的事情。1.Comm...
2023-2-16 20:31:37 | 阅读: 7 |
收藏
|
TahirSec
alr
二进制
隐藏
攻击
perm
Windows | 凭证窃取与缓解措施(二)
Windows 中存在各种权限认证相关的凭证以及缓解凭证窃取的措施,本文旨在厘清 Windows 中常见的凭证基本概念以及对应的缓解措施。 注:在某些情况下,...
2023-1-9 21:5:19 | 阅读: 6 |
收藏
|
TahirSec
攻击
哈希
委派
控制
Windows | 凭证窃取与缓解措施(一)
后渗透阶段,域管理员权限是最终目标。Windows 中的几乎所有横向移动方式,都与帐户相关联,没有创建或者控制帐户很难移动。而获取凭证是控制帐户的关键。 Windows...
2023-1-6 18:31:51 | 阅读: 7 |
收藏
|
TahirSec
windows
哈希
安全
攻击
security
Linux | 无文件攻击利用分析
无文件攻击(Fileless attack)是一种不向磁盘写入可执行文件的攻击方式。由于没有文件落地,难以被传统的文件扫描方式进行检测。无文件攻击并不会在目标计算机的硬盘中留下痕迹,而是通过系统的漏洞...
2022-12-28 18:32:10 | 阅读: 47 |
收藏
|
TahirSec
攻击
fexecve
memfd
shellcode
ctypes
Linux | 内核线程伪装取证分析
Linux 内核创建了许多线程来帮助完成系统任务。这些线程可以用于调度磁盘 I/O 等。1.内核线程伪装当打印系统进程时,这些线程将显示为带有 [xxx],括号表示该进程没有命令行参数,它们是某种线程...
2022-12-22 18:32:18 | 阅读: 9 |
收藏
|
TahirSec
comm
映射
信息
ksample
Linux | eBPF技术的Rootkit攻防 (二)
2. BPF在攻防中的应用回顾 BPF 在攻防中的应用BPF 很有趣,因为 BPF 程序具有超越普通程序的能力。hook 系统调用和用户空间函数调用操作用户空间数据结构修改系统调用返回值调用 syst...
2022-11-5 12:1:18 | 阅读: 83 |
收藏
|
TahirSec
ebpf
bpftool
隐藏
bpftrace
yconfig
Linux | 基于eBPF的Rootkit攻防利用(一)
LKM 型 Rootkit,一般编写内核模块加载到内核中,挂钩系统调用、虚拟文件系统等,改变内核函数执行流程,实现一系列 Rootkit 功能,比如:保持对受感染机器的访问实现各类隐藏功能创建 roo...
2022-10-24 20:38:21 | 阅读: 179 |
收藏
|
TahirSec
ebpf
vmlinux
数据
攻击
boopkit
Linux | BPF实用工具使用方式
BPF 程序具有超越普通程序的能力。利用BPF大致分为以下几种方式:利用现有的 BPF 程序,例如,有 sslsniff-bpcc、bpftool 。编写少量代码的程序并使用 bpftrace 运行它...
2022-9-16 18:31:49 | 阅读: 33 |
收藏
|
TahirSec
bpftrace
bpftool
映射
信息
comm
Linux | libbpf-bootstrap编写BPF程序
编写eBPF程序,通常通过Cilium、bcc或bpftrace等项目间接使用,这些项目提供eBPF抽象,不需要直接编写程序,而是使用预定义功能和帮助函数实现eBPF相关功能。相关框架...
2022-8-31 19:3:48 | 阅读: 40 |
收藏
|
TahirSec
libbpf
skel
vmlinux
cflags
ebpf
Linux | 利用原生libbpf编写BPF程序
编写eBPF程序,通常通过Cilium、bcc或bpftrace等项目间接使用,这些项目提供eBPF抽象,使用预定义功能和帮助函数实现eBPF相关功能。利用原生libbpf编写BPF程序,...
2022-8-29 20:0:59 | 阅读: 92 |
收藏
|
TahirSec
prog
libbpf
llc
wno
Linux | eBPF:扩展伯克利包过滤器
eBPF (扩展伯克利包过滤器)起源于Linux内核,可以在操作系统内核中运行的沙盒程序。其技术安全有效地扩展内核功能。而无需更改内核源代码或者加载内核模块。...
2022-8-10 18:2:28 | 阅读: 32 |
收藏
|
TahirSec
映射
探针
ebpf
指令
elem
Previous
-3
-2
-1
0
1
2
3
4
Next