安全研究
文章平均质量分 82
B1u3Buf4
安全分析;威胁情报;入侵检测。前乙方安全实验室,头部互联网甲方反入侵。
展开
-
网络空间拟态防御CMD(Cyber Mimic Defense)
基础概念网络空间拟态防御CMD(Cyber Mimic Defense)是邬江兴院士的研究团队最早从生物界拟态章鱼身上借鉴其拟态的特征,运用其思想到实际网络攻防的防御技术上的一种网络空间防御理论。在开始介绍拟态防御之前,先从介绍攻击链模型开始,了解攻击的过程,以及在攻击链模型之上,传统的防御的防御手段都做到了哪些。之后根据传统防御的缺点,提出拟态防御的概念,以及拟态防御在针对传统防御的缺陷上带来...原创 2022-10-24 23:11:23 · 1465 阅读 · 0 评论 -
ICS工业控制安全类方向赛题简单总结
最近两年时间参加了一些工控安全的比赛,接触到了一些工业控制系统相关的问题。文章总结了一些常见的PLC编程软件、常见的题目类型。ICS工业控制系统的赛题出题比较灵活,可以理解为Web、Reverse、Misc等方向综合体。从本身入门难易程度来看,入门的题目以WEB和流量分析为主,深入一些会涉及到梯形图、固件分析、程序修改等等方面的考察。原创 2022-01-01 11:35:24 · 2129 阅读 · 1 评论 -
Linux卡巴斯基杀毒(kesl)基础操作
卡巴斯基一直是杀毒软件业内的专业代表,以查杀率较高著名,不过查杀速度相对较慢。kesl是卡巴斯基在Linux系统上较新的杀毒程序,早期版本还有kav4fs,已经不建议使用。作为商业软件,kesl在服务器区的LInux主机查杀中通常可以较好地替代开源产品calmav,有不错的查杀能力。同时因为使用命令行操作,可以结合python等脚本语言进行二次开发,较为方便地完成一些定期扫描等简单任务。原创 2021-12-29 13:10:57 · 6833 阅读 · 1 评论 -
NTCTF(技术性网络空间威胁框架, Technical Cyber Threat Framework)
CTF(网络空间威胁框架,Cyber Threat Framework),也叫NSA CTF(NTCTF),是一种参考了MITRE的 ATT&CK威胁模型框架的通用描述语言。CTF的好处是提供了一种通用语言,用于描述和交流有关网络威胁活动的信息。CTF是对之前网络威胁词汇不一致描述的巨大改进。遵循一种通用方法有助于:建立一个共同的本体论并增强信息共享,因为将独特的模型映射到一个通用标准,比相互映射要容易;以直截了当的方式描述和分类威胁活动,以支持从战略决策到分析和网络安全措施的任务,以及从通原创 2021-10-24 00:47:16 · 1457 阅读 · 0 评论 -
ICMP隧道检测分析--icmptunnel
简介icmptunnel的工作原理是将你的IP流量封装在ICMP echo数据包中,并将其发送到你自己的代理服务器。代理服务器解压缩数据包并转发IP流量。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。IP流量是在ICMP数据包的 "data "字段中发送的。icmptunnel通过创建一个虚拟的隧道接口来工作。客户端主机上的所有用户流量被路由到icmptunnel在这个接口上监听IP数据包。这些数据包被封装在一个ICMP echo数据包中(即ICMP数据包的payloa原创 2021-09-29 12:55:39 · 1415 阅读 · 0 评论 -
二维码(QRCODE)纠错容错位读取修复操作
“”"二维码的纠错等级,容错等级。纠错等级是指容错率的大小,按照容错率从小到大可分(<7%),M(<15%),Q(<25%),H(<30%).容错率也叫纠错率。二维码在被遮挡部分面积后仍能被正常扫描,纠错率指的就是二维码能被正常扫描时允许被遮挡的最大面积占总面积的比率。二维码修复的工具,“”"dic = {“L0”: “111011111000100”,“L1”: “111001011110011”,“L2”: “111110110101010”,“L3”: “11原创 2021-01-31 14:57:00 · 6462 阅读 · 2 评论 -
DNS学习笔记2--DNS记录
整个 DNS 格式主要分为 3 部分内容,即基础结构部分、问题部分、资源记录部分。DNS 报文的基础结构部分指的是报文首部。字段名称内容描述事务IDDNS 报文的 ID 标识。对于请求报文和其对应的应答报文,该字段的值是相同的。通过它可以区分 DNS 应答报文是对哪个请求进行响应的。标志DNS 报文中的标志字段问题计数DNS 查询请求的数目回答资源记录...原创 2020-06-28 23:31:46 · 970 阅读 · 0 评论 -
jar包分析方法
JD-GUI可以打开jar程序,然后在文件中选择保存所有,然后会保存为一个zip文件。解压之后形成项目目录,然后导入工程,或者使用系统命令进行查询。修改完成之后,可以使用ecplise重新封装成jar。官方的网址:http://java-decompiler.github.iodownload下载。...原创 2019-12-10 01:22:25 · 2150 阅读 · 0 评论 -
hping3使用手册
该工具可能造成违法的攻击行为,需在合法的测试环境下使用。因个人不当使用造成的违法后果由行为人自行负责。基本参数-c --count发送数据包的数目 -i --interval发送数据包间隔的时间 (uX即X微秒,例如:-i u1000) --fast等同 -i u10000 (每秒10个包) -D --debug开启调试模式-q --quiet静默模式,最后再输出结果-...原创 2019-09-02 22:20:45 · 1709 阅读 · 0 评论 -
记某工控CTF比赛一道ICMP隧道题
某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。数据包如图:当时的考量:响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。两个通信IP没有什么有用信息。考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了...原创 2019-08-15 23:46:45 · 2986 阅读 · 0 评论 -
工控研究入门篇
协议名称使用端口Siemens S7TCP 102ModbusTCP 502IEC 60870-5-104TCP 2404DNP3TCP 20000EtherNet/IPTCP 44818BACnetTCP 47808Tridium Niagara FoxTCP 1911OMRON FINSTCP 9600PCWo...原创 2019-07-27 18:43:59 · 924 阅读 · 0 评论