我们似乎正生活在一个越来越推崇“情绪稳定”的时代。成年人的世界里,大家默契地穿上厚厚的铠甲,把悲喜调成静音模式,对远方的哭声充耳不闻,对眼前的荒诞见怪不怪。仿佛只有做到波澜不惊,才算得上是一个成熟的大人。但偏偏让我认识了一个“例外”。
她是一个情绪感知能力、共情能力极强的女孩儿。强到什么程度呢?仿佛她的灵魂没有穿任何防备的外衣,这世间所有的风吹草动,都能被她轻易的捕获,并在她的心湖里掀起实实在在的波澜。
只要她拿着手机,她的情绪就跟着那块小小的屏幕流浪。刷到那些过得不如意的人,看到那些被生活按在泥里摩擦却依然挣扎的陌生人,她不会像别人那样随手划过,而是会不自觉地红着眼眶,生出实打实的同情。那种同情不是居高临下的怜悯,而是一种“如果我认识你,我一定会拉你一把”的纯粹的善良。
她太容易被真挚的情感击中了。看到那种跨越多年、情谊深厚的感情,无论是亲情、友情又或是爱情,别人或许只是在心底感慨一句“真不错”,她却能不自觉地掉下“金豆豆”。那几颗金豆豆里,没有半点杂质,只有对纯粹人际关系的向往和感动;要是刷到那种一路披荆斩棘、历经万难才终于在一起的爱情故事,她更是会一边流着眼泪,一边 ...
别在饿的时候去超市
最近在网络上认识了一个姑娘,她说话总带着超出日常的通透与深度,隔着屏幕相谈,竟总有说不尽的投契。她说话速度不快,语气轻快却很有分量,好像很多事情在她那里都经过了长时间的思考。
说不上是什么契机,昨夜一场噩梦,醒来时早已记不清梦里的具体情节,只余下满心烦躁与沉甸甸的窒闷,堵在胸口散不开;
我随手(特意)把这份没来由的、无厘头的低落说给了她听,没抱什么特别的期待,只是作为开场白。却没想到她后来发来的一字一句,让我忽然觉得,比起“姑娘”,我更想称她一声先生。无关其他,只为从生活的泥泞里生生长出的清醒与赤诚。
我想把她说的记录下来,先生说“别搞我啊哥!”
晚了。
先生说我懂的,我也做过这样的梦。它最磨人的地方从来不是梦境本身,而是会把你藏在心底的情绪尽数翻涌出来。想要缓解这份惶惑其实不难,晨起时先洗把脸,出门去吹一吹自然的风;若是身边有信得过的亲友,便把这份辗转的不安尽数说与他们听。心事只要说出口,便很难再死死攥住你的心神,那些压在心底的重量,会在你开口的瞬间卸下大半,而你也终于可以试着,把它轻轻放下。
先生说我们这代人,大多都困在写字楼四四方方的格子间 ...
惊奇的奇遇总有些惊奇的奇遇……比方说当我遇见你
故事总是发生在夏天炎热的气候使人们裸露的更多,也更难掩饰欲望那时候 好像永远是夏天,太阳也总是有空儿伴着我阳光充足,太亮,使的人眼前一阵阵发黑
我有一个朋友(下文是朋友第一视角)
有些风,穿越十年的光景,依然会在某个不经意的午后,骤然拂过心弦,摇响一串早已尘封的铃声。
那时节,世界正笨拙地掀开3G的面纱。手机屏幕方寸之间,QQ家园网像一片初生的虚拟绿洲。稚嫩的文字在其间笨拙地穿梭、碰撞。就在这片像素搭建的朦胧世界里,我——一个距离城市很远的地方都一个情窦初开的懵懂灵魂,遇见了另一个好奇探索网络的她。先唤她作Y吧。
未曾谋面,甚至无缘聆听彼此的声音。年少的心事,却已如青藤般悄然缠绕。学习、校园、同学、那些遥不可及的人生与理想……每一个敲下的方块字,都像投入心湖的石子,漾开圈圈名为“好感”的涟漪。在那个连思念都需耐心等待加载的年代,一段纯粹依靠文字呼吸的“网恋”,竟也悄然萌芽、生长。
青涩的藤蔓终究脆弱。2013年的深秋,十月风凉,Y的名字连同那份朦胧的情愫,猝不及防地黯淡下去,无论我如何笨拙地挽留,屏幕那头只余沉默。唯一 ...
常见问题的解决方法0x01 文件被隐藏 ¶Windows 常见的隐藏文件的手段有三个
常规属性中勾选隐藏
attrib, 设置额外权限
NTFS 备用数据流(ads)
1. 设置隐藏属性 ¶
这种方式勾选查看中的显示隐藏的项目就可以找到
2. attrib 设置额外权限 ¶
https://learn.microsoft.com/zh-cn/windows-server/administration/windows-commands/attrib
语法
attrib [{+|-}r] [{+|-}a] [{+|-}s] [{+|-}h] [{+|-}o] [{+|-}i] [{+|-}x] [{+|-}p] [{+|-}u] [{+|-}b] [<drive>:][<path>][<filename>] [/s [/d] [/l]]
...
小技巧0x01 查找文件 ¶1. Everything ¶Windows 部分机制可以用来快速查找文件,比较常用的工具就是 everything
https://www.voidtools.com/zh-cn/
便携版直接打开就可以,需要管理员权限
1) 查找特定类型的文件 ¶视图 -> 筛选器
这里可以寻找我们想要类型的文件,当然,大家也可以通过通配符+文件后缀的方式进行筛选
2) 根据正则表达式查找文件 ¶以匹配一个 Python 安装包为例
python-\d+\.\d+\.\d+-amd64\.exe
搜索 -> 使用正则表达式
3) 根据文件内容查找文件 ¶搜索 -> 高级搜索
高级搜索中包含很多选项,我们可以按照实际情况进行勾选,这里在 文件内容中包含的单词或短语(I) 处填入要检索的文件中包含的内容
请注意,这种搜索时间可能比较长,需要等待
4) 根据时间筛选文件 ¶默认并没有这个搜索和筛选选项,不过可以通过添加栏目的方式“曲线救国”
这里以创建时间为例
可以选择要查找的文件类型后再通过排序的方式查找符合创建时间的文件
当 ...
常规安全检查
案例操作系统为 Windows Server 2016 root 账户来模拟普通用户账户 Administrator 为管理员账户 admin$ 账户来模拟隐藏普通账户 Windows 命令行常规情况下是不区分大小写的,因此大小写都可以
0x00 杀毒软件 ¶如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能,如果允许可以考虑异构排查
需要注意,大部分杀毒软件都有白名单等功能,全盘查杀可能会跳过这些内容,建议注意是否存在白名单情况,对白名单详细排查
0x01 近期活动 ¶这部分偏取证一些,不过对于很多应急场景,例如恶意文件被删除了,分析程序执行非常有用,这部分主要参考以下网址,感谢分享
https://www.sans.org/posters/windows-forensic-analysis/ https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E6%96%8 ...
知识点附录0x01 谁可以使用远程桌面服务 ¶Windows 中确定可登录账号要比 Linux 麻烦一些
默认情况下,开启远程桌面登录,将自动允许以下两个组的成员登录
Administrators
Remote Desktop Users
搜索计算机管理
计算机管理(本地) -> 系统工具 -> 本地用户和组
默认情况下 Remote Desktop Users 组是空的,抛开运维人员额外配置以外,还有一种情况会将用户添加到该组
如果在此处点击选择用户,之后就可以选择用户拥有使用远程桌面连接的权限
输入想要使用远程桌面的用户名,点击检查名称后,会自动识别匹配计算机中的用户名
此时点击确定, remotetest 用户就可以使用远程桌面连接服务器了
在计算机管理的用户和组中可以看到, remotetest 已经被添加到 Remote Desktop Users 组了
Windows 中可以通过组策略设置允许/拒绝某个用户/用户组 通过远程桌面登录
win + r 或点击搜索图标,填入 Gpedit.msc
本地计算机 策略 -> ...
MSSQL 事件排查MSSQL 应急排查部分已经有微步在线应急响应团队、深信服千里目实验室写得非常详细了,本部分基本也就是对其文章的提炼,建议大家阅读 《知攻善防~SQL Server 应急分析(上&下)》、《MSSQL数据库攻击实战指北 | 防守方攻略》
https://mp.weixin.qq.com/s/omDWZ0MK-WRTICXK3K9dZA https://mp.weixin.qq.com/s/zfUJnAiSzm-gwYVWxGT7Cw https://mp.weixin.qq.com/s/ug5LmTIbrd_jVG-euNr8aw
0x00 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体 ...
善后阶段0x01 定损 ¶
定损过程就是确定受害范围的过程,此过程主要是与网络安全负责人、系统管理员、应用管理员、网络管理员等进行沟通交流
统计出与受害系统使用了相同密码的服务器
统计出与受害系统部署了相同存在漏洞或特有服务的服务器, 例如负载均衡下的服务器
统计出与受害系统同一管理人员管理下的服务器, 主要是系统管理员和应用管理员
统计出受害系统可以使用 ssh 密钥直接登录的服务器
统计出受害系统可以使用 RDP 已保存信息直接登录的服务器
统计出受害系统受害期间频繁交互的服务器
…
0x02 针对性排查处理 ¶
如果服务器数量不多,可以按照常规安全检查章节对服务器进行安全检查
若服务器数量较多,可以通过安全设备查看是否存在来自这些服务器发起的攻击, 对内发起攻击 对外发起攻击
修改这些服务器的密码,尽量保证每一台服务器密码均不同,且为强口令
隧道事件0x00 简介 ¶隧道事件的事件来源一般有以下几种:
流量设备发现存在网络隧道
主机安全程序发现存在网络隧道或相关文件、进程
排查过程中发现存在跳板机痕迹等,进而发现隧道
运维相关人员发现异常端口等
其实大家可以发现,处理隧道与处理远控后门没有太大的区别,因为隧道本身就是后门大概念中的一部分,所以也是通过各种特征找到 PID ,进而处理
大多数协议隧道都包含两点特征 :
存在短时间、单一目标、频繁请求的该协议的数据包
可能出现额外本地到本地的连接 (127.0.0.1:xx -> 127.0.0.1:xx)
大家需要明白一点,发现隧道并不是应急人员要做的,验证处理才是,现在隧道程序五花八门,尝试去记住特征并识别意义并不大,下面的部分也仅仅是介绍一些隧道技术与正常网络连接的差异,如果隧道程序想做,完全可以做到和正常网络连接没区别
这里给大家推荐一篇总结内网代理工具与检测方法研究的文章,下面部分内容参考该文章 https://mp.weixin.qq.com/s?__biz=MzkzNjMxNDM0Mg==&mid=2247483876&idx=1& ...
