远控后门 0x00 固定证据 ¶在发生任何安全事件时，确定安全事件真实存在以后，第一步都建议固定证据，固定证据一般有以下几种类型，受害单位可以根据实际需求选择 系统快照 - 一般云环境比较方便这么做 磁盘取证 针对性取证 - 例如日志文件、网络信息、数据库等 内存取证 系统快照 ¶这种主要是云环境或虚拟化环境比较方便，目前似乎这类方式取证出来的内容都会丢失内存信息，属于是关机-快照-导出 虚拟机软件似乎支持例如暂停、冻结等功能，具体根据实际情况决定 磁盘取证 ¶磁盘取证有很多工具可以考虑 dd FTK Imager 针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector https://github.com/Just-Hack-For-Fun/NOPTrace-Collector 我们还推出了一套数字取证和应急响应规范，可以根据此规范自己开发取证程序 https://github.com/Just-Hack-For-Fun/OpenForensicRules 内存取证 ¶ DumpIt FTK Imager 取证后，对证据进行分析时，需要先单独复制一 ...

勒索病毒 0x00 简述 ¶ 勒索病毒是让人比较无奈的恶意程序，大部分都是只有攻击者才能解密 近期和一些勒索解密团队合作后发现，其实还是有解密的可能的，是否能够解密，如何判断需要专业团队来完成 但还是那句话，把应急解密或者赎金的钱用在数据备份、安全防护上才是较为明智的选择 0x01 固定证据 ¶在发生任何安全事件时，确定安全事件真实存在以后，第一步都建议固定证据，固定证据一般有以下几种类型，受害单位可以根据实际需求选择 系统快照 - 一般云环境比较方便这么做 磁盘取证 针对性取证 - 例如日志文件、网络信息、数据库等 内存取证 系统快照 ¶这种主要是云环境或虚拟化环境比较方便，目前似乎这类方式取证出来的内容都会丢失内存信息，属于是关机-快照-导出 虚拟机软件似乎支持例如暂停、冻结等功能，具体根据实际情况决定 磁盘取证 ¶磁盘取证有很多工具可以考虑 dd FTK Imager 针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector https://github.com/Just-Hack-For-Fun/NOPTrace-Collector 我们还推出了一 ...

挖矿病毒 0x00 固定证据 ¶在发生任何安全事件时，确定安全事件真实存在以后，第一步都建议固定证据，固定证据一般有以下几种类型，受害单位可以根据实际需求选择 系统快照 - 一般云环境比较方便这么做 磁盘取证 针对性取证 - 例如日志文件、网络信息、数据库等 内存取证 系统快照 ¶这种主要是云环境或虚拟化环境比较方便，目前似乎这类方式取证出来的内容都会丢失内存信息，属于是关机-快照-导出 虚拟机软件似乎支持例如暂停、冻结等功能，具体根据实际情况决定 磁盘取证 ¶磁盘取证有很多工具可以考虑 dd FTK Imager 针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector https://github.com/Just-Hack-For-Fun/NOPTrace-Collector 我们还推出了一套数字取证和应急响应规范，可以根据此规范自己开发取证程序 https://github.com/Just-Hack-For-Fun/OpenForensicRules 内存取证 ¶ DumpIt FTK Imager 取证后，对证据进行分析时，需要先单独复制一 ...

事前准备0x01 操作系统基本配置 ¶1. 开启显示隐藏文件和文件后缀 ¶ Windows Server 2016 文件资源管理器 => 查看 => 勾选文件扩展名，隐藏的项目 Windows 10 文件夹（文件资源管理器）=>查看=>勾选文件扩展名，隐藏的项目 Windows 7 文件夹=>工具=>文件夹选项=>查看=>勾选显示隐藏的文件=>取消勾选隐藏已知文件类型的扩展名 0x02 工具准备 ¶ 写保护 U 盘 数据盘 启动 U 盘 Windows Server 系列虚拟机或镜像 建议同时准备 32 位工具，以应对 32 位操作系统 本手册，顺便也可以带上 《Linux 应急响应手册》 1. 排查工具 ¶ System Informer OpenArk 火绒剑 D盾 Sysinternals Suite Windows 调试工具集 https://docs.microsoft.com/zh-cn/windows-har ...

加密与编码识别指南第一部分：加密算法哈希算法（不可逆）1. MD5 特征：32位十六进制字符（128位） 示例：5d41402abc4b2a76b9719d911017c592 可逆性：不可逆，可碰撞/彩虹表 安全性：已破解，不推荐使用 常见位置：旧系统密码存储、文件校验 2. SHA-1 特征：40位十六进制字符（160位） 示例：aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d 可逆性：不可逆，已找到碰撞 安全性：不安全 常见位置：Git提交、旧SSL证书 3. SHA-256 特征：64位十六进制字符（256位） 示例：2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824 可逆性：不可逆，目前安全 安全性：安全 常见位置：区块链、密码存储、数字签名 4. SHA-512 特征：128位十六进制字符（512位） 示例：9b71d224bd62f3785d96d46ad3ea3d73319bfbc2890caadae2dff72519673ca72323c3d9 ...

HTTP协议数据包总结一、HTTP协议简介HTTP（HyperText Transfer Protocol）是由 W3C 制定的网络应用层协议，定义了浏览器与 Web 服务器之间通信时的数据格式规范，是 Web 通信的核心基础。 二、HTTP通信过程 浏览器与 Web 服务器建立连接 浏览器打包请求数据（生成请求数据包）并发送给服务器 Web 服务器处理请求后，打包结果（生成响应数据包）并返回给浏览器 Web 服务器关闭连接 核心流程：建立连接 → 发送请求数据包 → 返回响应数据包 → 关闭连接 三、请求数据包格式请求数据包由 4 部分组成：请求行 + 请求头 + 空行 + 请求体（空行用于分隔请求头和请求体，不可省略） 1. 各部分说明 组成部分 作用 请求行 包含请求类型、请求资源路径、协议版本（如 POST /adduser HTTP/1.1） 请求头 键值对格式，由 W3C 定义或自定义，用于传递浏览器与服务器的交互信息 空行 分隔请求头和请求体，是协议规定的必要格式 请求体 需发送的具体数据（通常仅 POST 方式使用，GET 方式无请求体） ...

SQL注入常用爆库语句整理省流概要-- 查看表名（示例结果：student, user, passwd）select group_concat(table_name) from information_schema.tables where table_schema=database();-- 查看列名（以passwd表为例，示例结果：value, hashValue）select group_concat(column_name) from information_schema.columns where table_name="passwd";-- 查看表中数据（以passwd表的value列为例）select group_concat(value) from passwd; 核心数据库：information_schemainformation_schema 是 MySQL 内置的系统数据库，存储了整个 MySQL 实例的元数据信息，包括所有数据库名、表名、列名、数据类型等关键信息，是 SQL 注入爆库的核心依赖。 其中最常用的两个表： 1. tables ...

Wireshark 从入门到精通：事无巨细的使用操作全指南一、Wireshark 核心介绍Wireshark 是一款开源免费的网络协议分析工具，被誉为「网络安全领域的瑞士军刀」，支持 Windows、macOS、Linux 全平台，核心功能包括： 协议解析：支持超过 1000 种协议（TCP/IP、HTTP、DNS、MQTT 等） 实时捕获：监控网络接口流量，记录数据包完整信息 深度分析：协议层级拆解、流量统计、会话重组 适用场景：网络故障排查、安全攻击检测、协议学习、性能优化 二、安装与环境配置2.1 下载与安装Windows 系统 访问官方网站：https://www.wireshark.org 下载最新安装包 双击安装，必须勾选 Npcap 驱动（Windows 抓包核心组件） 一路默认下一步，完成后桌面生成快捷方式 macOS 系统方法 1：终端命令安装（需先安装 Homebrew） brew install wireshark 方法 2：官网下载 .dmg 安装包，拖拽至应用程序文件夹 Linux 系统 Debian ...

数字型SQL注入一、数字型注入核心原理数字型注入是SQL注入的经典类型，核心特征是后端接收的参数为数字类型（如ID、页码、编号等），且后端拼接SQL语句时，参数无引号/双引号包裹，直接作为数字参与SQL执行。 典型场景后端代码示例（PHP）： $id = $_GET['id'];$sql = "SELECT * FROM users WHERE id = $id"; // 无引号包裹数字参数$result = mysqli_query($conn, $sql); 攻击者可直接通过拼接布尔条件、联合查询等方式篡改SQL语句，且无需像字符型注入那样闭合引号，这是数字型注入最核心的区别。 核心差异（与字符型注入对比） 维度 数字型注入 字符型注入 参数包裹方式 无引号/双引号包裹 单引号/双引号包裹 基础判断Payload ?id=1 AND 1=2 ?id=1' AND 1=2 --+ 闭合要求 无需闭合引号 必须闭合引号（'/"） 二、判断是否存在数字型注入（核 ...