本文提供了一套完整的网络安全学习资料,覆盖零基础到进阶课程,包括Linux和Windows系统的敏感目录排查、时间点查找、Webshell检测等内容,旨在帮助程序员高效提升技能。还分享了网络安全面试题和学习资源,强调系统学习的重要性。
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
(1)/tmp目录和命令目录/usr/bin/usr/sbin等经常作为恶意软件下载目录及相关文建被替换的目录。
(2)此外,~/.ssh及/etc/ssh也经常作为一些后门配置的路径,需要重点检查
3)特殊文件Linux系统中的恶意文件存在特定的设置、特定的关键字信息等。
(4)Linux的后门检测,可以使用第三方查杀工具(如chkrootkit、rkhunter)进行查杀。
(5)排查SUID程序,即对于一些设置了SUID权限的程序进行排查,可以使用【find/-type f-perm-04000-ls-uid 0 2>/dev/null】命令
1.Windows系统
1)敏感目录在Windows系统中,恶意软件常会在以下位置驻留。
(1)各个盘下的temp(tmp)相关目录。
有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。对敏感目录进行的检查,一般是查看临时目录下是否有异常文件。
图通过临时目录发现可疑程序svchost.exe。
(2)对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。
Windows系统要重点排查浏览器的历史记录、下载文件和cookie信息,查看是否有相关的恶意痕迹。
如图所示,是在排查浏览器下载文件时发现的恶意样本。
(3)查看用户Recent文件。
Recent文件主要存储了最近运行文件的快捷方式,可通过分析最近运行的文件,排查可疑文件。
一般,Recent文件在Windows系统中的存储位置如下:
C:\Documents and Settings\Administrator(系统用户名)\Recent;
C:\Documents and Settings\Default User\Recent。
如图所示,是打开Recent文件后看到的内容。
(4)预读取文件夹查看。
Prefetch是预读取文件夹,用来存放系统已访问过的文件的预读取信息,扩展名为pf。之所以自动创建Prefetch文件夹,是为了加快系统启动的进程。Windows系统利用“预读取”技术,在实际用到设备驱动程序、服务和shell程序之前装入它们。这种优化技术也被用到应用软件上,系统对每个应用软件的前几次启动情况进行分析,然后创建一个描述应用需求的虚拟“内存映像”,并把这些信息保存到Windows\Prefetch文件夹中。
一般,在Windows 7系统中可以记录最近128个可执行文件的信息,在Windows 8到Windows 10系统中可以记录最近1024个可执行文件。
一旦建立了映像,之后应用软件的装入速度可大幅提升。Prefetch文件夹的位置为“%SystemRoot%\Prefetch\”。
可以在【运行】对话框中输入【%SystemRoot%\Prefetch\】命令,打开Prefetch文件夹。之后排查该文件夹下的文件
另外,Amcache.hve文件也可以查询应用程序的执行路径、上次执行的时间及SHA1值。
Amcache.hve文件的位置为“%SystemRoot%\appcompat\Programs\”,可以在【运行】对话框中输入【%SystemRoot%\appcompat\Programs\】命令,打开Amcache.hve所在文件夹,Amcache.hve文件如图所示
2)时间点查找
应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前、后的文件变动情况,从而缩小排查的范围。
(1)可列出攻击日期内新增的文件,从而发现相关的恶意软件。
在Windows系统中,可以在命令行中输入【forfiles】命令,查找相应文件,命令的参数情况
【forfiles】命令的使用方法如图所示。
使用【forfiles/m*.exe/d+2020/2/12/s/p c:\ /c "cmd/c echo @path @fdate @ftime"2>null】命令就是对2020/2/12后的exe新建文件进行搜索。在输入此命令后,找到了oskjwyh28s3.exe文件。
还可以根据文件列表的修改日期进行排序,查找可疑文件。当然也可以搜索指定日期范围内的文件夹及文件
(2)对文件的创建时间、修改时间、访问时间进行排查。
对于人工入侵的应急响应事件,有时攻击者会为了掩饰其入侵行为,对文档的相应时间进行修改,以规避一些排查策略。
例如,攻击者可能通过“菜刀类”工具改变修改时间。因此,如果文件的相关时间存在明显的逻辑问题,就需要重点排查了,极可能是恶意文件。
如图所示,文件的修改时间为2015年,但创建时间为2017年,存在明显的逻辑问题,这样的文件就需要重点进行排查
3)Webshell
在应急响应过程中,网站是一个关键的入侵点,对Webshell(网站入侵的脚本工具)的查找可以通过上述方法进行筛选后再进一步排查。
还可以使用D盾、HwsKill、WebshellKill等工具对目录下的文件进行规则查询,以检测相关的Webshell。
这里以使用D盾为例,通过扫描文件,可以直接发现可疑文件。
2.Linux系统
1)敏感目录Linux系统常见的敏感目录如下。
(1)/tmp目录和命令目录/usr/bin/usr/sbin等经常作为恶意软件下载目录及相关文建被替换的目录。
文件名为crloger8的木马下载到/tmp目录下
(2)此外,~/.ssh及/etc/ssh也经常作为一些后门配置的路径,需要重点检查
2)时间点查找
(1)通过列出攻击日期内变动的文件,可发现相关的恶意软件。
通过【find】命令可对某一时间段内增加的文件进行查找。以下为常用的【find】命令。
find:在指定目录下查找文件。
-type b/d/c/p/l/f:查找块设备、目录、字符设备、管道、符号链接、普通文件。
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
49aabfa2.png#pic_center)
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-dDSYkCNR-1713597243244)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
