检测工具介绍:Loki的IOCs检测和Pesieve的内存注入检测

最新推荐文章于 2024-05-12 09:30:20 发布
最新推荐文章于 2024-05-12 09:30:20 发布
阅读量684 收藏 1
点赞数 1
分类专栏: Windows病毒分析 安全开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/112307031
版权

LOKI控制行命令

在这里插入图片描述

<
命令选项 功能参数
-h 显示此帮助消息并退出
-p 要扫描的路径
-s (千字节为单位) 以KB为单位的最大文件大小(默认为5000 KB)
-l 日志文件
-r 远程syslog系统
-t 远程系统日志端口
-a 警报级别的警报分数
-w 警告级别的警报分数
-n 通知级别的通知分数
–printall 打印所有扫描的文件
–allreasons 打印导致得分的所有原因
–noprocscan 跳过进程扫描
–nofilescan 跳过文件扫描
–nolevcheck 跳过Levenshtein distance检查
–scriptanalysis 激活脚本分析(测试版)
–rootkit 跳过rootkit检查
–noindicator 不显示进度指示器
了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
MemoryEvasion
Mccc_li的博客
10-27 1369
CobaltStrike自3.1.2就引入了SleepMask套件,SleepMask套件可以在http/https或dns Beacon进入sleep的时候混淆Beacon和堆。但是泄露的CS SleepMask已经被分析烂了,于是就自己写了个在睡眠状态混淆代码的Loader。
LokiLoki-简单的IOC和事件响应扫描程序
02-05
Loki-简单的IOC扫描仪扫描仪,用于简单的危害指标检测基于四种检测方法: 文件名IOC 正则表达式匹配完整的文件路径/名称亚拉规则检查文件数据和过程存储器上的Yara签名匹配哈希检查将已知的恶意哈希(MD5,SHA1,SHA...
标题:【揭秘系统安全】PE-sieve:你的反恶意软件扫描利器
最新发布
gitblog_00026的博客
05-12 343
标题:【揭秘系统安全】PE-sieve:你的反恶意软件扫描利器 项目地址:https://gitcode.com/hasherezade/pe-sieve 在数字化时代,保护你的系统免受恶意软件的侵扰至关重要。现在,我们向你推荐一款强大的开源工具——PE-sieve,它是一个轻量级的引擎,能够有效地检测并处理系统中的恶意进程。 1、项目介绍 PE-sieve是一款专为识别和对抗恶意软件设计的工...
简单使用工具提取cobalt strike马
kernweak的博客
10-28 1489
针对hw,很多红队开发人员,都是简单加工了下CS马,套了层外壳,针对于这类样本的分析提取CS,可以使用工具快速分析提取CS的beacon,并不要什么太多操作。 首先拿到样本,先常规提取恶意PE文件。使用pe-sieve工具。 https://github.com/hasherezade/pe-sieve 比如提取后这种未命名的就是马所在。 如果套了几层,可以关键API下断,手动dump出内存,不过国内hw那些样本大部分都是简单构造。 再判断恶意代码是否为CobaltStrike,比如实例这里,IDA看到
轻量级日志系统Loki原理简介和使用
孟凡霄
07-26 5770
前言 这篇文章应朋友的要求,让写一篇loki日志系统,咱定义不容辞 一定要好好写 开干! 现实中的需求 公司的容器云运行的应用或某一个节点出现了问题,解决的思路 问题首先被prometheus监控 1、metric是来说明当前或者历史达到了某个值 2、alert设置metric达到某个特定的基数触发了告警 仅仅这些日志是不能够解决问题的 还需要看下应用的日志 k8s的基本单位是pod pod把日志输出到stdout和stderr 当某个pod的内存变得很大 触发了我们的alert
【转】APT情报IOCs处理须知
tpriwwq的专栏
08-20 1880
APT情报IOCs处理须知
addon-loki:Loki家庭助理
03-21
PLG堆栈(Promtail,Loki和Grafana) Loki不是一个独立的应用程序,它实际上不会做任何事情,直到您设置了另一个实用程序来向其发送日志。它的工作是接收日志,对其进行索引,并将其提供给Grafana等分析工具使用。...
oxen-mq:Loki存储服务器和lokid均使用的通信层
03-10
这个C ++ 17库包含一个围绕ZeroMQ的抽象层,以支持与Loki身份验证,RPC和消息传递的集成。 它被设计用作SN对SN通信的基本通信机制(“ quorumnet”),钱包和本地守护程序命令使用的RPC接口,lokid和辅助服务(存储...
LokiClientSample:Loki 客户端示例
05-31
总结来说,"LokiClientSample" 提供了一个 Java 应用程序集成 Loki 的实例,帮助开发者了解如何利用 `loki4j` 客户端库配置、记录和推送日志到 Loki。这使得在分布式系统中管理和分析日志变得更加便捷,对于监控和...
LokiClientSDK:Loki客户端SDK
05-31
LokiClientSDK是一款专为Java开发者设计的客户端软件开发工具包,它允许用户轻松地在他们的应用程序中集成Loki服务,以实现日志管理和监控功能。Loki是Prometheus Lab的开源日志聚合系统,旨在提供高效、可扩展且...
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
loadrunner性能测试详细操作过程
08-22
loadrunner性能测试详细操作过程,并且测试结果分析。
hollows_hunter:扫描所有正在运行的进程。 识别并丢弃各种潜在的恶意植入物(替换的植入的PE,shellcode,挂钩,内存中的修补程序)
04-28
空洞的猎人 扫描所有正在运行的进程。 识别并丢弃各种潜在的恶意植入物(替换/植入的PE,shellcode,hook,内存中的修补程序)。 :package: 使用库: ( )。 :open_book: 克隆 使用递归克隆将存储库与所有子模块一起获取: git clone --recursive https://github.com/hasherezade/hollows_hunter.git 建物 下载最新,或。
进程模块查看工具-PCHunter
11-01
可以查看进程模块,检测DLL注入,手动清除木马病毒神器。
内存注入工具
07-25
用途很广的内存注入工具用途很广的内存注入工具,一直留着
APT情报IOCs处理须知
摔不死的笨鸟的博客
03-01 2339
对外公开的IOCs的URL一般都会加上”[ ]“的符号确保安全可观。例如:http://badurl[.] com 处理IOCs的URL情报信息时,尤其注意自己不要点击到URL和IP地址的超链接,notepad++和excel都是默认开启转换为超链接,下面是确保处理时安全可靠的方法。 URL情报信息单独存放一个文件,并用样本的方式压缩加密保存。在处理前要确保工具禁用了超链接,并且没有下载更新软件时改变设置。 WPS禁用超链接 左上角:文件——选项——编辑——嵌入时将Internet链接或网络路径转换为超链接
还在用笨重的ELK?日志系统新贵Loki 了解一下
weixin_44421461的博客
07-12 721
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析...
常用问题排查工具和分析神器,值得收藏
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
06-10 5332
作为软件开发人员,如何才能提升我们的开发效率?如何才能快速地解决开发过程中遇到的何种问题?根据我多年来的开发经历及取得的经验,我们需要掌握一些常用的软件分析工具,借助这些工具,可以快速高效地分析和解决问题。............
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值