重要声明: 本文档中的信息和工具仅用于授权的安全测试和研究目的。未经授权使用这些工具进行攻击或数据提取是非法的,并可能导致严重的法律后果。使用本文档中的任何内容时,请确保您遵守所有适用的法律法规,并获...
横向移动 - 远程桌面协议 (RDP) 事件日志
好吧,这篇文章的名字听起来可能不像“恶意软件入门”或“如何检测和阻止一个民族国家”那样令人兴奋,但我保证它很重要,所有 DFIR 分析师都应该知道!让我们来讨论一下几乎每一次入侵中都可能遇到的情况:滥...
【应急响应工具教程】Windows日志快速分析工具——Chainsaw
Chainsaw 提供强大的“第一响应”功能,可快速识别 Windows 取证工件(如事件日志和 MFT 文件)中的威胁。Chainsaw 提供了一种通用且快速的方法,可以在事件日志中搜索关键字,并使...
黑客入侵无处遁形!Windows日志分析完全揭秘
在网络安全领域,系统日志是进行安全分析、事件响应和取证调查的关键依据。Windows系统在运行过程中会不断记录各类事件信息,这些记录为我们了解系统行为、检测异常活动和追踪攻击者的活动提供了宝贵的线索。...
通过本机 API 逃避 Windows 事件日志
威胁者可以利用本机 Windows API 调用来安装恶意服务,而无需在事件日志中生成相关条目。使用本机 API 而不是标准 API 调用来安装服务允许威胁者绕过安全控制和事件日志记录。这种技术被用于...
Epagneul:一款针对Windows事件日志的可视化分析工具
关于Epagneul Epagneul是一款针对Windows事件日志的可视化分析工具,可以帮助广大研究人员以可视化图形的方式查看、分析和审计Windows事件日志。 工具体系架构 该工具的 整体运...
Windows登录类型完全解密:7种登录方式暗藏安全陷阱
在 Windows 操作系统中,用户或计算机必须登录到系统才能访问本地或网络资源。Windows 采用不同的登录类型(Logon Type) 来区分各种登录方式,每种类型适用于不同的使用场景...
APT狩猎工具
安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 APT狩猎过程中经常需要使用一些工具来帮助我们提高效率,笔者今天给大家介绍一款开源的APT狩猎工具,可以根据自己的需求进行...
用于快速搜索 Windows 取证文件的开源工具
Chainsaw 是一款开源的急救工具,用于快速检测 Windows 取证工具(包括事件日志和 MFT 文件)中的威胁。它支持通过事件日志快速搜索关键字,并使用内置的 Sigma 检测和自定义检测规则...
Grove:一款软件即服务型安全日志收集框架
关于Grove Grove是一款软件即服务型(SaaS)安全日志收集框架,旨在帮助广大安全分析人员从不支持日志流的服务中收集安全日志等数据。 Grove 使团队能够以可靠且一致的方式从其供应商处收集安...
实测 Process Monitor 的系统启动日志功能确实强
之前的文章:《运维和网安必备:Sysinternals Process Monitor 4.01 更新(还有 Linux 版)》介绍了 Process Monitor 新版本功能,其中提到了不算是新功...
未探索的 LOLBAS 技术 Wevtutil
Unexplored LOLBAS Technique Wevtutil利用本地二进制文件和脚本(LOLBAS)技术已成为攻击者的首选策略。这些方法依赖于合法的、预装的 Windows 工具来执行恶意...