ll14856lk的博客

AbstractEndpoint Detection and Response (EDR) tools 通过将系统事件与已知的敌对行为相匹配，提供对复杂入侵的可见性，一般来说正规企业检测APT攻击就是使用这种方法。问题：1.EDR会产生大量的误报2.由于大量的低级系统日志，验证和确定这些威胁警报的准确性需要繁琐的手工工作。3.由于日志保留的巨大资源负担，在实际中，描述长期攻击活动的系统日志经常在调查之前被删除(灾难性遗忘，增量学习？)1.Introduction已有的检测技术：在企业中一般采

本文主要研究恶意软件，重点是区别APT相关恶意软件和非APT恶意软件之前的关系，并且寻找其中的可解释性。Contribution：本文的最大贡献应该是贡献了一个数据集，可以进一步的研究其中的问题。1. Introduction分类：在研究与apt相关的恶意软件时考虑不同类型的特征将会很有趣，这不仅是为了提高准确性，也是为了更好地了解其本质。因此，本工作提出使用静态、动态和网络相关的特征、可解释的和通过领域知识选择的特征，以及知名的机器学习技术来分析apt相关的恶意软件与无任何已知关联的通用恶意软

关键代码定位1）API断点法2）字符串检索法快捷键说明Ctrl+FIDA中查找字符串Alt+E在Olldbg中查找主模块3）辅助工具定位常见加密算法识别对数据进行变换的时候经常会使用一些加密算法，CTF逆向中常出现的加密算法包括base64，TEA,AES,RC4,MD5等1）base642）TEA3）AES(最常见，多次出现在CTF中)AES加密过程设计4种操作：字节替代（通过S盒完一个映射），行位移，列混淆，和密钥轮加。...

本文研究对象是stealthy malware，这种恶意软件难以检测的原因在于：因为恶意软件通常不会在文件中暴露其恶意负载(payload)，而是将其恶意行为隐藏在进程的良性行为中。概述stealthy malware1.stealthy malware将其恶意逻辑隐藏在良好信任进程的内存空间中，或者将其存储在很少有人关注的位置，如Windows注册表或服务配置。2.stealthy malware最小化了常规文件系统的使用，相反，只使用网络缓冲区、注册表和服务配置的位置，以逃避传统的基于文件的恶意

1.逆向分析的主要方法1.静态分析法：不执行代码文件的情形下，对代码进行静态分析的一种方法，包括文件类型分析，静态反汇编，反编译。2.动态分析法：使用调试器动态分析2.汇编指令体系结构1.X86：见王爽汇编指令-之前做过笔记2.x64：这里暂时略过，主要先把x86弄明白3.逆向分析工具1.IDA一些基本使用：1)函数修正2)指令修正：在IDA中，有些指令或者数据会识别错误，可以手动修正：快捷键作用D转化为数据C转化为代码3）数据修正4)注释信

1. 查找命令find 命令功能非常强大，通常用来在特定的目录下搜索符合条件的文件序号命令作用01find [路径] -name “*.py”查找指定路径下扩展名是 .py 的文件，包括子目录Tips：如果省略路径，表示在当前文件夹下查找之前学习的通配符，在使用 find 命令时同时可用2. 软链接序号命令作用01ln -s 被链接的源文件 链接文件建立文件的软链接，用通俗的方式讲类似于Windows下的快捷方式注意：1.没有

1.本节内容主要是为了方便通过远程终端维护服务器时，查看服务器上当前：系统日期和时间/磁盘空间占用情况/程序执行情况2.本小结学习的终端命令基本都是查询命令，通过这些命令对系统资源的使用情况有个了解1. 时间和日期序号命令作用01date查看系统时间02calcalendar 查看日历，-y 选项可以查看一年的日历2.磁盘信息序号命令作用01df -hdisk free 显示磁盘剩余空间02du -h [目录名]disk

本片论文主要研究的是在Windows系统下的恶意软件所利用的哪些系统原生带的或者易于安装的二进制文件，以及其运行的目的。由于我的研究方式重点是放在APT上，所以重点关注APT相关的内容1. 概述1.1描述一下LOTL技术LotL技术指的是使用已经存在于系统上或易于安装的二进制文件(例如，经过签名的合法管理工具)来进行post-exploitation activity.1.2 APT组织中使用LotL技术2. 背景2.1 A. LotL BinariesLiving-Off-The-La

权限选项：序号权限英文缩写数字代号01读readr402写writew203执行excutex11. 用户权限基本概念1.1基本概念用户管理包括用户管理和组管理，在Linux中可以指定每一个用户针对不同的文件和目录的不同权限。1.2 组为了方便用户管理，提出了组的概念，在实际应用中，可以预先对组设置好权限，然后将不同的用户添加到对应的组中，从而不用依次为每一个用户设置权限。1.3 ls -l扩展ls -l可以查看文件夹下的文

1. 关机/重启序号命令对应英文作用01shutdown 选项 时间shutdown关机／重新启动选项含义-r重新启动提示：不指定选项和参数，默认表示 1分钟之后关闭电脑远程维护服务器时，最好不要关闭系统，而应该重新启动系统常用命令示例命令功能shutdown -r now重新启动操作系统，其中now表示现在shutdown now立刻关机，其中now表示现在shutdown 20:25系统在今天

1.基础知识在终端放大字体 : ctrl + shift + =在终端缩小字体 : ctrl + -ls : 查看当前文件夹下的内容pwd : 打印当前的目录cd [目录名] :

High Fidelity Data Reduction for Big Data Security Dependency Analyses(CCF A)这是我读的条理最清晰的一篇文章了！1.ABSTRACTWe found that some events have identical dependency impact scope, and therefore they can be safely aggregated.(有相同的依赖影响范围，可以聚合)，所以提出了方法 Causality Pr

Accurate, Low Cost and Instrumentation-Free Security Audit Logging for Windows(CCF B)1. ABSTRACT该技术建立在Windows事件跟踪(ETW)的基础上。通过分析ETW日志和应用程序可执行文件的关键部分，可以构建一个模型，将ETW日志解析为表示进程中独立子执行的单元。在单位级别推断的因果关系提供了更高的准确性，允许我们执行准确的攻击调查和高效的日志缩减。2.INTRODUCTION对于APT等新型攻击，它们往

High Accuracy Attack Provenance via Binary-based Execution Partition(CCF B)1.Abstract通过从应用程序的二进制文件中逆向工程一种循环(loop)，我们还对可能导致单元之间工作流程(workflow)的指令进行逆向工程。检测这样的工作流程对于揭示单元(unit)之间的因果关系是至关重要的。然后对单元边界和单元依赖执行选择性日志记录。本文提出的方法有可忽略的运行开销和较低的空间开销，它可以有效地捕获我们所研究的每个攻击情况的最

LogGC: Garbage Collecting Audit Log(CCF B)1.Abstract基于日志审计取证的关键挑战是：产生日志文件的大小(每天可能会以Gigabytes的速率增加)提出方法：本文提出了一种LogGC,一种带有垃圾收集能力(Garbage Collecting)的审计日志系统。效果：可以大大减少系统事件之间的假依赖，以提高GC的效率。我们的结果表明，对于普通用户系统，LogGC可以减少14倍的审计日志大小，而对于服务器系统，LogGC可以减少37倍的审计日志大小，而不

Provenance-Aware Tracing of Worm Break-in and Contaminations: A Process Coloring Approach(CCF B)1.Abstract为了研究自传播网络蠕虫的利用和污染，需要一种来源感知的跟踪机制。来源不明导致难以快速准确地识别蠕虫的入侵点(即，在受感染的主机中运行的远程可访问的脆弱服务)，并且会引起大量的日志数据检查开销。本文介绍了一种基于源头感知的蠕虫入侵和污染追踪方法——进程着色(Process Coloring)法的设

Backtracking Intrusions (CCF A) 20031.ABSTRACT分析入侵是一项艰巨的任务，主要是手工操作，因为系统管理员缺乏所需的信息和工具，无法轻松理解攻击中发生的步骤顺序。BackTracker的目标是自动识别入侵过程中可能发生的步骤序列。从单个检测点(例如，可疑文件)开始，BackTracker识别可能影响该检测点的文件和进程，并在依赖关系图中显示事件链。我们使用BackTracker分析了几个针对我们设置为“蜜罐”的计算机的真实攻击。在每种情况下，BackTracke