TWMAN+ 流程分析

最新推荐文章于 2018-07-12 11:42:00 发布
最新推荐文章于 2018-07-12 11:42:00 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kezhen/article/details/20467021
版权

http://sourceforge.net/projects/twmanplus/files/TWMAN%2B%40Beta_20120125-AutoInstall/     中2012-01-25发布的TWMAN流程分析:

(1)客户端安装exes(这些exes负责从服务器端获取恶意代码[wget程序完成],并执行[sandnet.exe],然后dd出整个硬盘映像img[dd.exe])

(2)干净的客户端进行备份操作(twman-clear-save)

(3)在客户端的注册表中注册自动分析恶意代码所需的脚本bat

(4)服务器对客户端进行第二次备份(供后续自动化还原恶意代码执行环境)

(5)在linux系统下对windows客户端进行映像备份(使用linux的dd命令)

(6)客户端自动执行恶意代码1

(7)在linux系统下对windows客户端进行映像备份,并与(5)的映像进行比较导出分析结果文件

(8)恢复(4)中备份的windows映像,并重启进入第(6)步。

kezhen
关注
臺灣惡意程式分析網路
04-07
TWMAN分析流程大致可以概括為以下幾個步驟: 1. **樣本上傳**:將待分析的惡意程式樣本上傳至系統。 2. **自動執行**:系統自動執行樣本以觀察其行為。 3. **系統排程**:根據預設的排程進行樣本分析。 4. **報表...
恶意代码分析平台Truman相关资料
kezhen的专栏
06-06 7758
Truman 下载:http://www.secureworks.com/cyber-threat-intelligence/tools/truman/
honeynet和spark的交集
anzhuangguai的专栏
10-22 790
叫大点就是“基于数据挖掘的恶意行为分析”。基于数据挖掘使用splunk,恶意行为分析使用honeynet/honeywall spark和splunk? 大量数据由spark负责保存,splunk负责算法(FIXME) 这是使用honeynet的一个良好示例。重点是他们的部署策略 大规模部署honeynet,然后使用安全工具复制获得威胁信息() 使用统计工具splunk
Centos下文件完整性监控工具Tripwire详解
weixin_30456039的博客
07-12 346
当服务器遭到黑客攻击时,在多数情况下,黑客可能对系统文件等等一些重要的文件进行修改。对此,我们用Tripwire建立数据完整性监测系统。虽然 它不能抵御黑客攻击以及黑客对一些重要文件的修改,但是可以监测文件是否被修改过以及哪些文件被修改过,从而在被攻击后有的放矢的策划出解决办法。 Tripwire的原理是Tripwire被安装、配置后,将当前的系统数据状态建立成数据库,随...
Centos5.3下构建数据完整性监测系统Tripwire(1.安装配置)
weixin_34419326的博客
11-16 164
好久没有认真写过文章了,主要觉得现在好多文章都有整理的比较完善,没有必要做那些无用功,把别人整理很好的文档自己再整理一次。 不过最近我在安装数据完整性检测工具“Tripwire”的时候确遇见不少麻烦,主要是资料过老,或者不其,或者文章中提到包安装包找不到之类的问题。今天我就构建linux数据完整性检测写一个教程,避免继续有人...
centos5.4 安装tripwire检查文件完整性
weixin_34137799的博客
03-02 143
当服务器遭到******时,在多数情况下,***可能对系统文件等等一些重要的文件进行修改。对此,我们用Tripwire建立数据完整性监测系统。虽然 它不能抵御******以及***对一些重要文件的修改,但是可以监测文件是否被修改过以及哪些文件被修改过,从而在被***后有的放矢的策划出解决办法。Tripwire的原理是Tripwire被安装、配置后,将当前的系统数据状态建立成数...
数据完整性监测系统的构建(Tripwire )
Commands
12-18 567
前  言 当服务器遭到黑客攻击时,在多数情况下,黑客可能对系统文件等等一些重要的文件进行修改。对此,我们用 Tripwire建立数据完整性监测系统。虽然 它不能抵御黑客攻击以及黑客对一些重要文件的修改,但是可以监测文件是否被修改过以及哪些文件被修改过,从而在被攻击后有的放矢的策划出解决办法。   Tripwire的原理是Tripwire 被安装、配置后,将当前的系统数据状态建立成
数据完整性监测系统的构建( Tripwire )
weixin_33774883的博客
03-18 224
 数据完整性监测系统的构建( Tripwire ) 前  言  当服务器遭到******时,在多数情况下,***可能对系统文件等等一些重要的文件进行修改。对此,我们用Tripwire建立数据完整性监测系统。虽然 它不能抵御******以及***对一些重要文件的修改,但是可以监测文件是否被修改过以及哪些文件被修改过,从而在被***后有...
rhino grasshoper 框内物体排列(附视频).gh
最新发布
10-18
【闭合线内物体按方向移动/排列】https://www.bilibili.com/video/BV1z1WfeSEWu?vd_source=b420114c993138474d2e93d83ead77a5
kwant-1.4.3-cp38-cp38-win_amd64.whl
10-18
kwant-1.4.3-cp38-cp38-win_amd64.whl
rhino grasshoper 景观椅(附视频).gh
10-18
【rhino@grasshoper 曲线金属座椅景观案例(文件获取/见简介)】https://www.bilibili.com/video/BV1Dx4y147Lr?vd_source=b420114c993138474d2e93d83ead77a5
PCIe通义万问系列文档的第一部已整理完毕,含999个PCIe相关问答
10-18
《PCIe通义万问》系列文档旨在记录PCIe相关行业工程师们在PCIe协议学习、IP设计验证、产品测试及使用过程中遇到的问题、迸发的思考、进行的探讨及可能的解决方案,以期给遇到相同相似问题的同行们些许启发。文档涉及的技术方向主要为PCIe,也包含PCIe相关的CXL、UCIe及计算机体系结构相关内容。 本文档是《PCIe通义万问》系列文档之(一),含999个问题。问题内容有以下三个来源:MangoPapa(下称博主)的“PCIe每日一问一答”系列专栏;博主的博文留言及私信讨论;博主作为群主的“PCIe技术交流群”群聊内容。MangoPapa小助理、折叠、先杰、CR小队长、kangling共同完成了问答内容提取与归纳整理,噫嘘唏及慕荷负责文辞优化及编辑排版,上述人员及MangoPapa、JasonW、皮塞阿姨、席可儿参与了文档内容的审校。感谢以上人员的无私奉献。 本文档仅对讨论内容进行总结记录,不保证问题答案的正确性,部分问题只提供解决思路或讨论过程。术业有专攻,文内定有偏颇。如您发现谬误,一敬希原宥,二望乞点拨;如您持异见,欢迎来信讨论。如有需要,欢迎联系MangoPapa加入相关
毕业设计论文SpringBoot招投标管理系统.docx
10-18
毕业设计论文
直观的大型模型应用软件-有机体-eva.zip
10-18
直观的大型模型应用软件-有机体-eva
全球与中国7N高纯砷市场现状及未来发展趋势(2024版).docx
10-18
全球与中国7N高纯砷市场现状及未来发展趋势(2024版).docx
在我的A股市场上爬行和收集有负面信息的上市公司的名字,违反规定并施加处罚
10-18
在我的A股市场上爬行和收集有负面信息的上市公司的名字,违反规定并施加处罚,实在太过分了。。http----www.kapaidashu.org-evil-app.php_trading-evil-collect
edt-2.3.0-cp38-cp38-win_amd64.whl
10-18
edt-2.3.0-cp38-cp38-win_amd64.whl
media3 ExoPlayer 扩展解码库aar decoder-vp9、decoder-av1、decoder-ffmpeg
10-18
media3 ExoPlayer 扩展解码库aar。 decoder_av1 (视频解码) decoder_ffmpeg (音频解码) decoder_vp9 (视频解码)
edt-2.3.0-pp38-pypy38_pp73-win_amd64.whl
10-18
edt-2.3.0-pp38-pypy38_pp73-win_amd64.whl
毕业设计论文SpringBoot在线装修管理系统.docx
10-18
毕业设计论文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值