2023年全国网络安全行业职业技能大赛-电子数据取证分析师-writeup 传统电子数据取证，偏向于对犯罪事实的定性，为了提供司法证据，检材一般是查获攻击者/嫌疑人的电子产品导出的镜像文件。电子数据取证分析师初赛，以电子数据取证分析师国家职业技能标准三级为基础，包含对电子数据... 2023-12-28 20:33:0 | 阅读: 75 | 收藏 | TahirSec 数据 监控 虚拟 数据库 e01

Linux | bedevil Rootkit取证分析研究 bedevil是基于动态共享库劫持的用户态Rootkit，网上相关分析文章很少，没有详细的取证分析文章，此文简单介绍一下bedevil相关的痕迹检测和取证方法。1. 取证对抗bedevil... 2023-12-18 20:32:8 | 阅读: 26 | 收藏 | TahirSec bdvl busybox 共享 bedevil 链接库

Windows | 内存映像取证分析思路（二） 内存取证，比使用工具更重要的是遵循正确的分析过程，首要应该是找到第一个异常点。4. 内存取证分析思路第一步从进程分析开始，因为它们是内存中最重要的对象。通过仔细检查分配给每个进程的所有各种对象。第二和... 2023-6-25 18:1:28 | 阅读: 11 | 收藏 | TahirSec 挂钩 ssdt 数据 隐藏

Windows | 内存映像取证分析思路（一） 理解内存映像文件的数据关键在于内核调试器数据块（KDBG），可以根据其指针最终找到系统的进程列表。1.理解内存映像文件        至少有两种不同的方法找到内核调试器数据块（KDBG... 2023-6-20 20:31:54 | 阅读: 11 | 收藏 | TahirSec windows 映像 虚拟 volatility kdbg

Linux | SkidMap 内核态 Rootkit 取证分析 SkidMap是于2019年发现的一种 Linux 恶意软件，加载内核态Rootkit，来隐藏恶意挖矿活动 。它的出现也证明了加密货币挖掘威胁的复杂性在不断增加。1.异常定位某日，发现主机时常宕机重启... 2023-5-15 20:33:2 | 阅读: 13 | 收藏 | TahirSec 隐藏 劫持 模块 指令

Windows | WMI攻击利用痕迹猎捕 WMI (Windows Management Instrumentation) 是 Microsoft 对 WBEM 标准的实现。WMI 开箱即用，提供了近 4000 种不同的可配置项。它旨... 2023-5-8 20:2:4 | 阅读: 18 | 收藏 | TahirSec mof windows powershell 数据 攻击

Windows | 事件日志类型总结 Windows事件日志记录主要分为安全、系统和应用程序等类型，在Vista、Win7、Server 2008，以及 Win10 和 Server 2019 扩展了自定义日志的数量，比如， PowerS... 2023-4-7 20:4:22 | 阅读: 24 | 收藏 | TahirSec windows 审计 信息 控制

AI之初体验—ChatGPT ChatGPT作为一个基于自然语言处理技术的人工智能模型，可以应用于网络安全领域的各个方面。恶意代码分析，帮助安全分析师分析恶意代码，提高效率。网络入侵检测，可以识别和分析网络流量中的恶意行为，以帮助... 2023-2-21 20:32:57 | 阅读: 9 | 收藏 | TahirSec chatgpt 漏洞 安全 脚本 黑客

Linux | DIFR Command Cheat Sheet 防御者需要了解数以千计的方式来入侵系统，而攻击者只需要攻击成功一次。攻击者需要了解数以千计的方法来掩盖踪迹，而防御者只需要发现痕迹一次。计算机不是自发的，首先需要关注那些引起你注意的事情。1.Comm... 2023-2-16 20:31:37 | 阅读: 7 | 收藏 | TahirSec alr 二进制 隐藏 攻击 perm

Windows | 凭证窃取与缓解措施（二） Windows 中存在各种权限认证相关的凭证以及缓解凭证窃取的措施，本文旨在厘清 Windows 中常见的凭证基本概念以及对应的缓解措施。               注：在某些情况下，... 2023-1-9 21:5:19 | 阅读: 6 | 收藏 | TahirSec 攻击 哈希 委派 控制

Windows | 凭证窃取与缓解措施（一） 后渗透阶段，域管理员权限是最终目标。Windows 中的几乎所有横向移动方式，都与帐户相关联，没有创建或者控制帐户很难移动。而获取凭证是控制帐户的关键。        Windows... 2023-1-6 18:31:51 | 阅读: 7 | 收藏 | TahirSec windows 哈希 安全 攻击 security

Linux | 无文件攻击利用分析 无文件攻击（Fileless attack）是一种不向磁盘写入可执行文件的攻击方式。由于没有文件落地，难以被传统的文件扫描方式进行检测。无文件攻击并不会在目标计算机的硬盘中留下痕迹，而是通过系统的漏洞... 2022-12-28 18:32:10 | 阅读: 47 | 收藏 | TahirSec 攻击 fexecve memfd shellcode ctypes

Linux | 内核线程伪装取证分析 Linux 内核创建了许多线程来帮助完成系统任务。这些线程可以用于调度磁盘 I/O 等。1.内核线程伪装当打印系统进程时，这些线程将显示为带有 [xxx]，括号表示该进程没有命令行参数，它们是某种线程... 2022-12-22 18:32:18 | 阅读: 9 | 收藏 | TahirSec comm 映射 信息 ksample

Linux | eBPF技术的Rootkit攻防 （二） 2. BPF在攻防中的应用回顾 BPF 在攻防中的应用BPF 很有趣，因为 BPF 程序具有超越普通程序的能力。hook 系统调用和用户空间函数调用操作用户空间数据结构修改系统调用返回值调用 syst... 2022-11-5 12:1:18 | 阅读: 82 | 收藏 | TahirSec ebpf bpftool 隐藏 bpftrace yconfig

Linux | 基于eBPF的Rootkit攻防利用（一） LKM 型 Rootkit，一般编写内核模块加载到内核中，挂钩系统调用、虚拟文件系统等，改变内核函数执行流程，实现一系列 Rootkit 功能，比如：保持对受感染机器的访问实现各类隐藏功能创建 roo... 2022-10-24 20:38:21 | 阅读: 177 | 收藏 | TahirSec ebpf vmlinux 数据 攻击 boopkit

Linux | BPF实用工具使用方式 BPF 程序具有超越普通程序的能力。利用BPF大致分为以下几种方式：利用现有的 BPF 程序，例如，有 sslsniff-bpcc、bpftool 。编写少量代码的程序并使用 bpftrace 运行它... 2022-9-16 18:31:49 | 阅读: 33 | 收藏 | TahirSec bpftrace bpftool 映射 信息 comm

Linux | libbpf-bootstrap编写BPF程序 编写eBPF程序，通常通过Cilium、bcc或bpftrace等项目间接使用，这些项目提供eBPF抽象，不需要直接编写程序，而是使用预定义功能和帮助函数实现eBPF相关功能。相关框架... 2022-8-31 19:3:48 | 阅读: 40 | 收藏 | TahirSec libbpf skel vmlinux cflags ebpf

Linux | 利用原生libbpf编写BPF程序 编写eBPF程序，通常通过Cilium、bcc或bpftrace等项目间接使用，这些项目提供eBPF抽象，使用预定义功能和帮助函数实现eBPF相关功能。利用原生libbpf编写BPF程序，... 2022-8-29 20:0:59 | 阅读: 92 | 收藏 | TahirSec prog libbpf llc wno

Linux | eBPF：扩展伯克利包过滤器 eBPF （扩展伯克利包过滤器）起源于Linux内核，可以在操作系统内核中运行的沙盒程序。其技术安全有效地扩展内核功能。而无需更改内核源代码或者加载内核模块。... 2022-8-10 18:2:28 | 阅读: 32 | 收藏 | TahirSec 映射 探针 ebpf 指令 elem