![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
信息安全
文章平均质量分 53
海绵行动
这个作者很懒,什么都没留下…
展开
-
信息安全 | YARA特征规则介绍与编写
YRAR规则通过编写YARA规则,我们可以基于文本或二进制模式对已掌握的恶意样本特征进行检测匹配,从而帮助我们更好的识别和分类恶意样本。支持平台Windows,Linux和Mac OS官方文档yara.readthedocs.io/en/v3.7.0/writingrules.html规则组成规则名常用规则名的例子:恶意样本类型_家族描述 meta该区域主要是对规则进行描述,详细的规则描述能够大大的降低后续维护规则的成本。文本字符串区域支持类型有三种:十六进制字符串原创 2021-09-10 10:16:52 · 1671 阅读 · 1 评论 -
样本分析 | 整理了527种文件格式类型的文件头 (参考使用)
.256 : ['0x46', '0x4f', '0x52', '0x4d', '0x0'].3gp : ['0x0', '0x0', '0x0', '0x20', '0x66'].3mf : ['0x50', '0x4b', '0x3', '0x4', '0xa'].4bt : ['0x47', '0x4f', '0x44', '0x30', '0xad'].82i : ['0x2a', '0x2a', '0x54', '0x49', '0x38'].8ca : ['0x2a', '0x2a',原创 2021-09-10 10:15:38 · 2570 阅读 · 0 评论 -
情报运营 | VirusTotal Hunting 笔记 - 自动生成YARA规则、通过YARA规则实时打捞VT样本
VirusTotalVT是一个提供可疑文件分析服务的网站,它与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件。所上传的文件会被多种反病毒引擎对进行扫描检测,可以通过结果信息进行参考,判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染等等。VirusTotal HuntingVT Hunting是一项利用VirusTotal数据集的YARA功能服务。通过编写基于文本或二进制模式的恶意样本YARA规则,将其上传到VirusTotal进行实时跟踪。一旦命中规则就可以收到推送通知,即可针对样本原创 2021-09-10 10:13:44 · 1320 阅读 · 0 评论 -
信息安全 | 威胁特征规则介绍与编写:Snort规则
Snort规则Snort是一个轻量级的网络入侵检测系统。具有实时数据流量分析日志IP网络数据包捕获的能力,能够进行协议分析,对内容进行搜索/匹配。通过编写规则文件,能够检测各种不同的攻击方式,对攻击进行实时告警。支持平台Windows,Linux和Mac OS参考文档wangan.com/docs/snortnet规则组成规则头规则行为协议类型源/目的IP地址子网掩码方向操作符源/目的端口规则选项告警信息异常数据的信息(特征码、signature)原创 2021-09-10 10:13:03 · 1483 阅读 · 0 评论 -
应急响应 | Windows事件ID及解释大全
0 操作成功完成。1 函数不正确。2 系统找不到指定的文件。3 系统找不到指定的路径。4 系统无法打开文件。5 拒绝访问。6 句柄无效。7 存储控制块被损坏。8 存储空间不足,无法处理此命令。9 存储控制块地址无效。10 环境不正确。11 试图加载格式不正确的程序。12 访问码无效。13 数据无效。14 存储空间不足,无法完成此操作。15 系统找不到指定的驱动器。16 无法删除目录。17 系统无法将文件移到不同的驱动器。18 没有更多文件。19 介质受写入保护。20原创 2021-09-10 10:11:52 · 12347 阅读 · 1 评论 -
信息安全 | 病毒分析的基础流程、报告编写、特征提取
病毒分析的基础流程、报告编写、特征提取基础流程静态分析文件类型API信息字符串提取壳检测反汇编动态分析虚拟机注册表检测文件操作检测进程检测网络检测动态调试常用工具反汇编网络监听行为分析脱壳工具其他WinMD5Strings报告编写样本信息样本行为查杀清除工作关联溯源特征提取静态特征YARA特征病毒名特征敏感信息特征注册表、服务名网络数据互斥体动态行为基础流程当我们拿到一个样本的时候,可以尝试将样本的MD5、SHA1等基础特征信息在各类反病毒引擎扫描平台进行检测识别。[如果是涉密样本,则不建议将其上传到公原创 2021-09-10 10:08:17 · 804 阅读 · 0 评论 -
安全运营 | 如何从海量告警中筛选出真实有效的攻击?
在考虑“如何从海量告警中筛选出真实有效的攻击?”这个问题前,我一直在思考如何更好的将「告警日志数据」转换为「情报数据」进行输出。但考虑到「情报数据」的积累是一件相对比较长期的事情,无法在短时间内让政企客户快速感知到「情报数据」的价值。那么想要“即时”的体现「安全感」,还是要在「攻击有效性」的检测上多花点时间。告警日志数据主要来自:WAF、IPS「入侵防御系统」、IDS「入侵防御系统」、蜜罐、NTA、EDR、APT、防病毒、堡垒机、态势感知等安全设备。当安全设备检测到来自外部或内部的「攻击..原创 2021-08-30 21:30:06 · 6533 阅读 · 0 评论 -
漏洞挖掘 | Fuzz 模糊测试的基础流程
1. 确认Fuzz目标分析源代码2. Fuzz工具的制定&挑选编写Fuzz工具&脚本3. 开始FuzzFuzz的性能检测&优化 捕获Crash事件4. 结果处理Crash分析原创 2021-08-29 14:46:18 · 967 阅读 · 0 评论 -
渗透测试 | 几款常用的CMS识别「Web指纹识别」扫描脚本&工具(含下载地址)
在对「靶标资产」进行渗透测试的前期,通常需要对「靶标资产」进行相关的信息收集,而对「靶标资产」进行Web指纹信息扫描也是信息收集当中很关键的一部分。能否有效识别出「靶标资产」的Web指纹信息,主要还是取决于扫描脚本&工具内置的「指纹信息特征库」,而今天介绍的这几款常用的CMS识别「Web指纹识别」扫描脚本&工具,它们的指纹库的覆盖情况也是相对比较OK的。但在一些特殊的渗透测试环境中,还是需要根据测试情况对指纹库进行优化&规整,从而提升指纹识别的效率。表格中列出的是一些能够..原创 2021-08-22 12:58:42 · 2934 阅读 · 2 评论 -
挖洞思路 | 通过Splunk对“EDU SRC”的公开情报信息进行数据分析
在挖SRC的过程中,“挑软柿子捏”已经算是一种常规思路。而对于刚开始挖SRC的小伙伴来说,「挑选目标」以及「挖掘漏洞的方向」似乎是一件比较让人纠结的事情。所以,我们就在思考能否通过爬虫脚本抓取「教育行业漏洞报告平台」上的公开数据做分析,再根据各大院校漏洞公布情况输出「情报数据」,为我们在「挑选目标」以及「挖掘漏洞的方向」上提供一些「情报信息」作为参考。「教育行业漏洞报告平台」现有的公开情报信息:漏洞列表:时间、漏洞标题、等级、漏洞上报人员 全国高校漏洞排行榜:排名、单位、漏洞总数、漏...原创 2021-08-14 16:30:10 · 1033 阅读 · 0 评论 -
渗透测试 | Web安全漏洞原理 - XSS
简述XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的计算机安全漏洞。攻击者通过在用户端输入恶意的可执行脚本代码,若服务器端对所输入的内容未进行过滤处理,恶意的可执行脚本代码将输出到浏览器,并执行注入的恶意脚本代码。类型反射型XSS 存储型XSS DOM型XSS反射型XSS用户端输入的内容通过浏览器传输到服务器,服务器在接受到内容后直接反射传输回来,输入的内容直接在用户端浏览器解析执行。存储型XSS用户端输入的内容通过浏览器传输到服务器,服务器..原创 2021-07-31 19:02:19 · 436 阅读 · 0 评论 -
信息安全 | 利用oletools-python分析恶意文档样本
前言通过学习oletools-python后,能够对恶意文档样本进行基础的分析工作。什么是oletools-pythonoletools-python工具,用于分析MS OLE2文件(结构化存储,复合文件二进制格式)和MS Office文档,以进行恶意软件分析,取证和调试。下载安装Linux、Mac:sudo -H pip install -U oletools Windows:pip install -U oletools官网链接:https://pypi.org/proje..原创 2021-07-31 18:56:26 · 2609 阅读 · 0 评论 -
信息安全 | 护网行动面试题目汇总 (持续整理)
原创 2021-07-31 11:55:29 · 11191 阅读 · 0 评论 -
关于态势感知,客户到底需要些什么?
在考虑这个问题之前,我有问过自己:“到底什么是态势感知?”。按照网络上的说法,态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力。是以安全大数据为技术,灵活地从庞大的工具堆栈中摄取、关联和可视化数据。从这一段概念中我理解到「态势感知」的能力源于数据,而在构建「态势感知」的整个过程中,从企业安全控件、应用、软硬件中收集安全日志数据就是我们第一阶段需要做事情。我们通过对这些安全日志数据进行分析,从中挖掘有价值的情报数据进行输出。当情报数据积累到一定程度后,就可以对不同数据源收集的情报数据进行深层的..原创 2021-07-29 20:23:44 · 271 阅读 · 0 评论