前一段时间做windows数据采集程序,通过notify进行文件变化监控,cpu和内存占用太高,不太适用,windows的文件过滤驱动也没有研究过。今天一位大牛向我推荐了sysmon,下面是实践的流程...
Navicat 16 激活教程
Navicat premium是一款数据库管理工具,是一个可多重连线资料库的管理工具,它可以让你以单一程式同时连线到 MySQL、SQLite、Oracle 及 PostgreSQL 资料库,让管理不...
异常问题汇总_sample_malaware_report
基本信息样本概述某天晚上朋友发了一个样本给我,说他们在前场发现了一个样本,但是自己从沙盒还有抓爆都没有发现C2,当时只是奔着快速解决问题的目的帮他迅速找出C2,所以没有做太多分析,正好有时间详细的分析...
Windows Shift后门利用
0x00 前言通常,在内网渗透打下一台机子之后,可以给这台机子留个Shift后门。0x01 Shift后门利用简介粘滞键漏洞,在Windows系统下连续按5下SHIFT键,可以启动系统的粘滞键功能,其...
ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)
0x01 基础信息具体信息详情ATT&CK编号T1037-001所属战术阶段坚持操作系统windows10创建时间2022年11月26日监测平台火绒安全、sysmon编写人员暗魂攻防实验室网空...
基于AD Event日志识别Skeleton Key后门
01、简介Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作手法,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的...
Windows | 凭证窃取与缓解措施(二)
Windows 中存在各种权限认证相关的凭证以及缓解凭证窃取的措施,本文旨在厘清 Windows 中常见的凭证基本概念以及对应的缓解措施。&nbs...
内存取证新选择:像访问文件一样进行内存取证—内存取证利器MemProcFs介绍
在过去的几年里,使用离地(living off the land)和无文件攻击技术的威胁者数量急剧增加。攻击者不再像以前那样关心如何消除他们的足迹,相反,他们尽量少留下足迹以避免被发现。这使得信息安全...
使用Sysmon和Winlogbeat打造Windows平台的HIDS
介绍https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmonSysmon是微软的一款免费的轻量级系统监控工具。它通过系统服务和驱动程...
一次溯源分析的小姿势
今天做了对某个恶意攻击IP的溯源分析工作,把他拿下来之后,发现他的中间件日志,和系统日志都被删了。机子上没有任何的扫描和攻击工具, 而且通过查找网站域名,发现该域...
Windows操作系统环境下调查USB设备使用痕迹方法研究
引用本文 段严兵, 罗文华. Windows操作系统环境下调查USB设备使用痕迹方法研究[J]. 刑事技术,2015,40(2): 138-141 DUAN Yan-bing, LUO Wen-hua...
大量应急响应工具包合集(一),附下载链接
今天分享几款应急响应常用工具,用于在应急响应中快速排查问题原因。以下软件中也有部分可用于个人电脑,免受病毒和流氓软件的侵扰。一、360星图一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击...
30