非持续性事件0x00 简介 ¶
持续性的挖矿、远控后门等可以通过直接排查发现,但是在实际工作中,很多恶意行为(访问恶意域名、连接恶意IP)只集中出现了几次,无法直接通过网络连接找到恶意进程及文件或者有些恶意程序处置结束后,无法确定是否已经清理完整 可以通过一段网络监控来解决
0x01 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体根据实际情况决定
磁盘取证 ¶磁盘取证有很多工具可以考虑
dd
FTK Imager
针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector
https://github.com/Just-Hack-For-Fun/NOPTrace-Collector
我们还推出了 ...
钓鱼事件
0x00 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体根据实际情况决定
磁盘取证 ¶磁盘取证有很多工具可以考虑
dd
FTK Imager
针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector
https://github.com/Just-Hack-For-Fun/NOPTrace-Collector
我们还推出了一套数字取证和应急响应规范,可以根据此规范自己开发取证程序
https://github.com/Just-Hack-For-Fun/OpenForensicRules
内存取证 ¶
DumpIt
FTK Imager
取证后,对证据进行分析时,需要先单独复制一 ...
暴力破解
0x00 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体根据实际情况决定
磁盘取证 ¶磁盘取证有很多工具可以考虑
dd
FTK Imager
针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector
https://github.com/Just-Hack-For-Fun/NOPTrace-Collector
我们还推出了一套数字取证和应急响应规范,可以根据此规范自己开发取证程序
https://github.com/Just-Hack-For-Fun/OpenForensicRules
内存取证 ¶
DumpIt
FTK Imager
取证后,对证据进行分析时,需要先单独复制一 ...
badusb 投毒事件
0x00 简介 ¶badusb 攻击是攻击者将恶意代码烧录进 usb 设备,之后插入到受害电脑中,在受害者电脑上执行恶意代码的攻击
大家捡到神灯,通常会说最后一个愿望是再要3个愿望,对于攻击者来说也是一样的,USB设备代码是写死的,插入一次只能执行一次恶意代码,因此攻击者会尽可能得想要进行远程控制被害主机,所以这类事件在处置上与远控后门事件差不多,但是需要进行以下部分步骤
固定证据 -> 分析日志 -> 确定事件发生 -> 确定攻击发生的时间 -> 找到恶意设备 -> 分析恶意代码 -> 进行针对性处置
0x01 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体 ...
远控后门
0x00 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体根据实际情况决定
磁盘取证 ¶磁盘取证有很多工具可以考虑
dd
FTK Imager
针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector
https://github.com/Just-Hack-For-Fun/NOPTrace-Collector
我们还推出了一套数字取证和应急响应规范,可以根据此规范自己开发取证程序
https://github.com/Just-Hack-For-Fun/OpenForensicRules
内存取证 ¶
DumpIt
FTK Imager
取证后,对证据进行分析时,需要先单独复制一 ...
勒索病毒
0x00 简述 ¶
勒索病毒是让人比较无奈的恶意程序,大部分都是只有攻击者才能解密 近期和一些勒索解密团队合作后发现,其实还是有解密的可能的,是否能够解密,如何判断需要专业团队来完成 但还是那句话,把应急解密或者赎金的钱用在数据备份、安全防护上才是较为明智的选择
0x01 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体根据实际情况决定
磁盘取证 ¶磁盘取证有很多工具可以考虑
dd
FTK Imager
针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector
https://github.com/Just-Hack-For-Fun/NOPTrace-Collector
我们还推出了一 ...
挖矿病毒
0x00 固定证据 ¶在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
系统快照 - 一般云环境比较方便这么做
磁盘取证
针对性取证 - 例如日志文件、网络信息、数据库等
内存取证
系统快照 ¶这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体根据实际情况决定
磁盘取证 ¶磁盘取证有很多工具可以考虑
dd
FTK Imager
针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector
https://github.com/Just-Hack-For-Fun/NOPTrace-Collector
我们还推出了一套数字取证和应急响应规范,可以根据此规范自己开发取证程序
https://github.com/Just-Hack-For-Fun/OpenForensicRules
内存取证 ¶
DumpIt
FTK Imager
取证后,对证据进行分析时,需要先单独复制一 ...
事前准备0x01 操作系统基本配置 ¶1. 开启显示隐藏文件和文件后缀 ¶
Windows Server 2016
文件资源管理器 => 查看 => 勾选文件扩展名,隐藏的项目
Windows 10
文件夹(文件资源管理器)=>查看=>勾选文件扩展名,隐藏的项目
Windows 7
文件夹=>工具=>文件夹选项=>查看=>勾选显示隐藏的文件=>取消勾选隐藏已知文件类型的扩展名
0x02 工具准备 ¶
写保护 U 盘
数据盘
启动 U 盘
Windows Server 系列虚拟机或镜像
建议同时准备 32 位工具,以应对 32 位操作系统
本手册,顺便也可以带上 《Linux 应急响应手册》
1. 排查工具 ¶
System Informer
OpenArk
火绒剑
D盾
Sysinternals Suite
Windows 调试工具集
https://docs.microsoft.com/zh-cn/windows-har ...
加密与编码识别指南第一部分:加密算法哈希算法(不可逆)1. MD5
特征:32位十六进制字符(128位)
示例:5d41402abc4b2a76b9719d911017c592
可逆性:不可逆,可碰撞/彩虹表
安全性:已破解,不推荐使用
常见位置:旧系统密码存储、文件校验
2. SHA-1
特征:40位十六进制字符(160位)
示例:aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d
可逆性:不可逆,已找到碰撞
安全性:不安全
常见位置:Git提交、旧SSL证书
3. SHA-256
特征:64位十六进制字符(256位)
示例:2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
可逆性:不可逆,目前安全
安全性:安全
常见位置:区块链、密码存储、数字签名
4. SHA-512
特征:128位十六进制字符(512位)
示例:9b71d224bd62f3785d96d46ad3ea3d73319bfbc2890caadae2dff72519673ca72323c3d9 ...
HTTP协议数据包总结一、HTTP协议简介HTTP(HyperText Transfer Protocol)是由 W3C 制定的网络应用层协议,定义了浏览器与 Web 服务器之间通信时的数据格式规范,是 Web 通信的核心基础。
二、HTTP通信过程
浏览器与 Web 服务器建立连接
浏览器打包请求数据(生成请求数据包)并发送给服务器
Web 服务器处理请求后,打包结果(生成响应数据包)并返回给浏览器
Web 服务器关闭连接
核心流程:建立连接 → 发送请求数据包 → 返回响应数据包 → 关闭连接
三、请求数据包格式请求数据包由 4 部分组成:请求行 + 请求头 + 空行 + 请求体(空行用于分隔请求头和请求体,不可省略)
1. 各部分说明
组成部分
作用
请求行
包含请求类型、请求资源路径、协议版本(如 POST /adduser HTTP/1.1)
请求头
键值对格式,由 W3C 定义或自定义,用于传递浏览器与服务器的交互信息
空行
分隔请求头和请求体,是协议规定的必要格式
请求体
需发送的具体数据(通常仅 POST 方式使用,GET 方式无请求体)
...
