weixin_46661122的博客

原创 基于Webshell执行系统命令后报警的进程行为监控

Github完整代码https://github.com/farliy-hacker/-IDS-Webshell-/blob/main/Webshell-IDS.py

原创 网络安全，基于python实现入侵检测系统IDS的进程监控Webshell上线后调用命令进行报警的功能

调用psutil库，做一个循环，每次获取全部进程pid，如果进程数量有变化就对比找出新产生的进程。像linux系统，webshell管理工具为中国蚁剑，只要webshell执行了系统命令，就一定会有新进程产生，该图特征的进程就为sh，如果是Windows系统的话，为cmd.exe，可以根据这些特征对入侵检测系统监控进程进行编写规则在windows平台的中国蚁剑，针对于p.name() == "cmd.exe"的话，我们就杀死该进程，从图可以看到，刚好要cd切换到www目录，就被干掉了，杀死的那.

原创 关于计算机视觉方式免杀

CV2是OpenCV官方的一个扩展库，里面含有各种有用的函数以及进程。OpenCV的全称是：Open Source Computer Vision Library。OpenCV是一个基于（开源）发行的跨平台计算机视觉原始图像进行透视变换截取轮廓中的内容当然，还有更简单的方式Tesseract是一个光学字符识别引擎，它可以识别中文及英文。申请内存，加载shellcode，等待线程执行完成，其中包括杀毒软件收集的API函数特征。通过这样的方式识别出来进行免杀...

原创 关于使用神经网络的同态加密

什么是神经网络？神经网络类似人类大脑，由一个个神经元组成，每个神经元和多个其他神元连接，形成网状。单个神经元只会解决最简单的问题，但是组合成一个分层的整体，就可以解决复杂问题。传统的机器学习方法只利用了一层芯片网络，在遇到真正复杂的问题时，处理效率就会变得十分低下。深度学习的最核心理念是通过增加神经网络的层数来提升效率，将复杂的输入数据逐层抽象和简化。也就是说，将复杂的问题分段解决，每一层神经网络就解决每一层的问题，这一层的结果交给下一层进行进一步处理。神经元![](https://img-blo

原创 关于凯撒密码加密特征值,base64加密shellcode并分离绕过杀软

什么是shellcode?在黑客攻击中，shellcode是一小段代码，用于利用软件漏洞作为有效载荷。它之所以被称为“shellcode”，是因为它通常启动一个命令shell，攻击者可以从这个命令shell控制受损的计算机，但是执行类似任务的任何代码都可以被称为shellcode。因为有效载荷（payload）的功能不仅限于生成shell，所以有些人认为shellcode的名称是不够严谨的。然而，试图取代这一术语的努力并没有得到广泛的接受。shellcode通常是用机器码编写的。C/C++加载方式#i

原创 关于进程、线程、锁、shellcode注入

什么是进程?我们编写的代码只是一个存储在硬盘的静态文件，通过编译后就会生成二进制可执行文件，当我们运行这个可执行文件后，它会被装载到内存中，接着 CPU 会执行程序中的每一条指令，那么这个运行中的程序，就被称为「进程」。现在我们考虑有一个会读取硬盘文件数据的程序被执行了，那么当运行到读取文件的指令时，就会去从硬盘读取数据，但是硬盘的读写速度是非常慢的，那么在这个时候，如果 CPU 傻傻的等硬盘返回数据的话，那 CPU 的利用率是非常低的。做个类比，你去煮开水时，你会傻傻的等水壶烧开吗？很明显，小孩也不会

原创 攻防世界新手村Reverse

题目描述:菜鸡觉得前面的题目太难了，来个简单的缓一下查壳，ELF文件Linux进行调试在IDA的main主函数下,查找字符串who可看到flag题目描述:菜鸡和菜猫进行了一场py交易是pyc文件，可知要进行反编译用户输入的值进行了一个条件判断，encode（flag）== correct进行反推查壳调试搜索关键字符DUCTF,可看到一串16进制...

原创 关于这些年来Windows远程代码执行漏洞CVE

永恒之蓝MS17-010通过445和139端口来利用SMBv1和NBT中的远程代码执行漏洞溢出,恶意代码会扫描开放445文件共享端口的windows。漏洞出现在Windows SMB v1中的内核态函数srv!SrvOs2FeaListToNt在处理FEA(File Extended Attributes)转换时，在大非分页池(内核的数据结构，Large Non-Paged Kernel Pool)上存在缓冲区溢出。执行msfconsole命令msf > search ms17-010这里

原创 关于CTF中的取证分析

什么是计算机取证？计算机取证（Computer Forensics，又名计算机取证技术、计算机鉴识、计算机法医学）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即：获取、保存、分析、出示、提供的证据必须可信

原创 关于TCP劫持攻击并反弹shell

在开始攻击前，复习一下TCP的三次握手和4次挥手。第1次握手:客户端向服务器发送一个同步数据包请求建立连接，该数据包中，客户端向服务器发送一个SYN数据包，此时的SYN数据包置一，seq是一个随机初始化的序列号，此时确认号为0，进入SYN_SENT状态。第2次握手，服务器收到SYN数据包，必须确认客户端的SYN,会回复一个ACK表示确认， 并同步自己也发送一个SYN包，此时SYN=1，ACK=1，确认号是第1次握手的序列号加上1，序列号是随机产生的一个值，此时进入SYN_RECV状态。第3次握手，客

原创 区块链51%双花攻击

复习一下区块链是啥？区块链是分布式数据存储，点对点传输，共识机制，加密算法的计算机技术的新型应用模式，区块链本质上是一个去中心化的数据库。简单一点来讲，家里有个账本，由你来记账，爸爸妈妈把工资交给你，让你记到账本上，万一你偷吃，由区块链来解释就是会少十几个数据块，所以需要全家都记账，你不能篡改数据，其他人也不能篡改数据，也就是说，每个区块链就像一个硬盘，把信息全部保存下来，再通过密码学技术进行加密，被保存的信息是无法被恶意篡改。区块链系统每10分钟会校验期间产生的所有数据，比如说交易的记录，该记录区

原创 关于映像劫持

什么是映像劫持?“映像劫持”，也被称为“IFEO”（Image File Execution Options），在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式

原创 关于僵尸网络和C&C服务器

僵尸网络（简称“机器人网络”）是由感染的计算机网络的恶意软件在一个攻击方的控制之下，被称为“僵尸牧民”。每个在bot-herder控制下的个人机器被称为机器人。从一个中心点来看，攻击方可以命令其僵尸网络上的每台计算机同时执行协调的刑事诉讼。僵尸网络的规模（许多由数百万个僵尸程序组成）使攻击者能够执行以前不可能使用恶意软件的大规模操作。由于僵尸网络仍然受远程攻击者的控制，受感染的计算机可以动态接收更新并更改其行为。因此，僵尸牧民通常能够在黑市上租用他们的僵尸网络段，以获得巨大的经济收益。DDoS攻击 - 利

原创 关于邮箱爆破

爆破邮箱有俩种姿势:一是对网页版的邮箱登录处进行爆破二是对邮箱的端口号进行爆破SMTP默认端口是25 ，SSL加密端口是 465POP3默认端口是110，SSL加密端口是 995IMAP默认端口是143，SSL加密端口是 993其中电子邮件的发送协议是SMTP， 邮件的接收协议是IMAP和POP3其中POP3协议，当客户机与服务器建立联系时，一旦客户机提供了自己身份并成功确认，即由认可状态转入处理状态，在完成相应的操作后客户机发出QUIT命令，则进入更新状态，更新之后最后重返认可状态。等待连

原创 关于侧信道攻击

侧信道攻击——是一种利用计算机不经意间释放出的信息信号（如功耗,电磁辐射，电脑硬件运行声）来进行破译的攻击模式：例如，黑客可以通过计算机显示屏或硬盘驱动器所产生的电磁辐射，来读取你所显示的画面和磁盘内的文件信息；或是，通过计算机组件在执行某些程序时需要消耗不同的电量，来监控你的电脑；亦或是，仅通过键盘的敲击声就能知道你的账号和密码。2017年一段昆明小学生“听声音”徒手解开ofo共享单车密码锁的视频流传于网络，视频中该小学生通过不断扭动密码盘来尝试解锁，仅用17秒便成功解开了车锁，这种是通过声音信号的.

原创 ShellCode

关于利用图片Alpha通道隐写术隐藏Shellcode的攻击Alpha通道，又叫做阿尔法通道，是指一张图片的透明和半透明度。例如：一个使用16位存储的图片，可能5位表示红色，5位表示绿色，5位表示蓝色，1位是阿尔法。在这种情况下，它要么表示透明要么不是。一个使用32位存储的图片，每8位表示红绿蓝，和阿尔法通道。在这种情况下，就不光可以表示透明还是不透明，阿尔法通道还可以表示256级的半透明度。一般alpha值取0~1之间。通道分为三种通道。也就是有三个作用。Alpha通道与Rgb图片为乘法运算即：图片

原创 2020-11-10

关于邮件伪造电子邮件欺骗（email spoofing）的根本原因是SMTP协议是不需要身份验证的，攻击者可以利用这个特性伪造电子邮件头，从任意电子邮件地址发送任何人，导致信息看起来来源于某个人或某个地方，而实际却不是真实的源地址为了防止这种钓鱼邮件的伪造，就出现了SPF。当你定义了你域名的SPF记录后，接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面，如果在，则认为是一封正确的邮件，否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤，这种过滤一般

原创 2020-07-01

在这里插入代码片module’ object has no attribute 'windll’有没有大佬知道这个kali的报错问题，帮小弟一把

原创 有哪个擅长HTML5的大佬会做

原创 2020-04-04