网络安全
文章平均质量分 67
ybdesire
Talk is cheap. Show me the code.
展开
-
使用binwalk提取混合类型文件中的子文件
使用固件分析工具binwalk,可以很方便的判断混合类型文件,并提取混合类型文件中的子文件,本文说明该工具的安装到使用实例原创 2024-04-04 23:15:50 · 624 阅读 · 0 评论 -
解读4篇混合类型文件Polyglot相关的论文
解读4篇混合类型文件Polyglot相关的论文,涵盖混合类型检测、恶意混合类型软件检测、相关的CVE和漏洞。原创 2024-01-30 21:32:27 · 1046 阅读 · 0 评论 -
一张图理解MITRE ATT&CK框架
看到一张好图,能对MITRE ATT&CK框架做很好的概述原创 2023-10-19 21:14:55 · 234 阅读 · 0 评论 -
详解混合类型文件(Polyglot文件)的应用生成与检测
本文总结了混合类型文件的定义,使用混合类型的恶意样本家族,如何生成混合类型文件,以及非混合类型的文件检测及混合类型文件检测的方法。原创 2023-09-16 22:03:05 · 560 阅读 · 0 评论 -
Android样本Repack重打包检测思路
Android样本重打包检测,可以发现恶意代码注入的情况。检测思路是根据manifest找到tag,或者DEX文件字符串地址偏移顺序。原创 2023-08-31 21:12:55 · 1220 阅读 · 1 评论 -
详解EMBER数据集中对PE文件提取ByteEntropyHistogram特征
EMBER对PE文件提取了广泛被使用的 ByteEntropyHistogram 特征。这个特征的本质上是利用滑动窗口的过程,对各个窗口中二进制数据做模糊后,求取其直方图的信息熵,在不同信息熵值的维度下,对各个窗口中数据直方图向量值累加的结果。原创 2023-08-04 22:39:04 · 791 阅读 · 0 评论 -
VirusTotal智能搜索itw查找从github下载的恶意Android样本
一个例子,从VirusTotal查找到新鲜的恶意Android样本,根据itw找到从某个特定网站下载的恶意样本。原创 2023-01-06 22:47:04 · 1809 阅读 · 0 评论 -
IDA 常用快捷键记录
IDA常用的快捷键有哪些原创 2022-10-06 21:47:54 · 4171 阅读 · 0 评论 -
Sysinternals Suite Tools 简介
Sysinternals Suite工具的官方下载与常用工具简介原创 2022-09-01 18:46:28 · 1020 阅读 · 0 评论 -
使用foremost对磁盘镜像文件做数字取证
foremost是linux下用于恢复文件的工具,能对dd,Safeback,Encase等工具提取出来的image文件进行恢复。原创 2022-04-19 23:11:40 · 5502 阅读 · 0 评论 -
VirusTotal智能搜索安卓样本示例
在Virus Total上搜索Android平台样本的示例原创 2022-03-31 22:56:26 · 3347 阅读 · 0 评论 -
VirusTotal智能搜索
1. VirusTotal介绍从wiki参考4上,可以对VT(VirusTotal)有一个大致了解:VirusTotal.com是一个免费的病毒、蠕虫、木马和各种恶意软件分析服务,可以针对可疑文件和网址进行快速检测,最初由Hispasec维护VirusTotal.com曾在PC World杂志(美国版)的评选中,荣获2007年最优秀的100款产品之一的称号2012年9月7日 Google 已经收购了网络安全创业公司VirusTotal,旨在增强针对自身互联网服务的保护措施2. 智能搜索示例V原创 2021-12-01 21:46:20 · 1396 阅读 · 0 评论 -
每月更新一次的恶意软件排名榜单
1. 引入我们知道,编程语言流行度,会由TIOBE(参考1)每个月发布一次,能从中看到多种编程语言受欢迎程度的排名。在恶意软件领域,有没有类似TIOBE的榜单排名呢?笔者近期就发现了checkpoint公司有做这样的恶意软件排名,信息也是每个月更新一次。2. checkpoint详细的榜单排名,发布在checkpoint的博客(参考3)中。但其博客中发布的信息比较多,不方便检索,所以可以从参考2的链接中,点击年份,搜索关键字“Most Wanted Malware”,就能找到榜单概要。点击标题原创 2021-06-01 23:15:30 · 283 阅读 · 0 评论 -
详细解读Google论文:Google在Malware Hunting领域的新成果
引入最近仔细通读了Google最新的paper,《Spotlight: Malware Lead Generation at Scale》,这是Google在2020年12月份发表在Annual Computer Security Applications Conference (ACSAC) 会议上的论文。ACSAC是计算机安全领域的很好的会议,看到有的分析说是计算机安全排第二梯队的顶会。这是个比较有个性的会议,它上面的论文和学术界的其他会议区别很大。这里论文都是以应用为主的,文章内容注重实践性、工程原创 2021-01-01 23:11:25 · 499 阅读 · 0 评论 -
介绍一个可以轻松下载病毒样本的数据库
引入病毒样本有一些知名的数据集,但一般这些数据集中的样本都比较老,并且申请这些数据集的流程复杂,耗时长。有的数据集只有meta信息,没有完整的样本。而病毒样本又是各大安全公司的资产,研究者也不会轻易拿到新样本。所以病毒样本的收集是比较麻烦的。MalwareBazaar Database从如下介绍,可以看出,MalwareBazaar数据库是与安全产商合作后,构建的一个公开的病毒样本数据库。MalwareBazaar is a project operated by abuse.ch. The p原创 2020-09-30 11:24:45 · 28064 阅读 · 4 评论 -
用Androguard静态检测APK行为:收集手机号
1. 引入有些APK运行后,会收集你的手机号。有收集手机号这种行为的APP,就有可能把你的手机号泄露出去。那么,如何用一段python代码,来检测APK是否有这种收集手机号的行为呢?2. 原理从参考1中,我们可以知道,只要你写APP时,满足如下两个条件,就会让你的APP有收集本机手机号的行为。在manifest中添加如下权限<uses-permission android:name="android.permission.READ_PHONE_STATE"/> 在java中原创 2020-09-06 22:07:17 · 990 阅读 · 1 评论 -
MITRE知识库中Android行为列表
1. 引入MITRE ATT&CK的介绍来看,它是一个攻击者(adversary)策略(tactic)知识库(knowledge base of adversary tactics and techniques)。该框架理顺了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链。它从整个攻击路径的顺序,对企业级平台和移动平台都做了详细的说明。不同的操作系统都有不同的攻击方式,所以它对Windows,macOS,Linux,Cloud,Android和iOS都有相应的描述。以Androi原创 2020-06-30 23:28:16 · 726 阅读 · 1 评论 -
MITRE ATT&CK安全知识库介绍
1. 引入通过学习MITRE ATT&CK,能快速对安全领域做一个全面的了解。本文只是对MITRE ATT&CK做一个初步介绍,更深入的内容后续还会再写。2. MITRE是什么从wikipedia[1]上可以看到介绍:The Mitre Corporation (stylized as The MITRE Corporation and MITRE) is an Amer...原创 2019-09-26 21:18:04 · 14974 阅读 · 1 评论 -
详细分析CVE-2011-1149 (KillingInTheNameOf)
CVE-2011-1149 (KillingInTheNameOf)这个漏洞是2011年发现的。利用它能让ADB获取root权限。这个漏洞存在于Android<=2.2。从adb的源码中,可以看到db的权限由属性ro.secure来控制。property_get("ro.secure", value, "1");if (strcmp(value, "1") == 0) {...原创 2018-03-24 22:34:06 · 563 阅读 · 0 评论 -
Javascript跨域访问资源
API的设计要考虑CORS。同源策略,跨域资源共享,错误No 'Access-Control-Allow-Origin' header is present on the requested resource.的缘由及解决方案。原创 2015-08-19 21:16:50 · 2830 阅读 · 0 评论 -
Django的CSRF保护引起的403 FORBIDDEN
用Django写了一个API,专门处理客户端发来的POST请求。结果每一次客户端JS发送POST请求,都得到403的Error。Google搜“django 403 forbidden ajax post”,在神奇的stackoverflow上发现了答案 。 原来是Django的CSRF保护机制导致的。CSRFCSRF是跨站点请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的co原创 2015-09-03 19:19:03 · 14259 阅读 · 0 评论 -
[网络诈骗]BEC(Business Email Compromise 企业邮件受骇)
企业邮件受骇(BEC-Business Email Compromise)原创 2016-04-18 20:53:41 · 9841 阅读 · 0 评论