基于ESXI部署防溯源的攻击环境 文章介绍了一种基于ESXI和OpenWrt实现防溯源攻击环境的方法，通过创建隔离虚拟交换机和端口组，配置OpenWrt作为攻击网段的出口网关，实现流量代理、Fake DNS和防火墙规则设置，确保新虚拟机开机即用且无法被溯源。... 2025-9-25 07:49:59 | 阅读: 17 | 收藏 | Zgao's blog - zgao.top 攻击 luci 虚拟 passwall2 代理

反弹Shell执行pty泄露黑客命令记录？ 文章描述了一次网络安全事件中攻击者利用RCE漏洞获取服务器权限，并通过`python -c import pty; pty.spawn("/bin/bash")`创建伪终端进行操作。尽管没有SSH登录记录，但攻击者的命令却被写入`.bash_history`文件中。原因是伪终端继承了父进程（通过SSH启动的守护进程）的环境变量和权限。... 2025-7-14 08:20:12 | 阅读: 19 | 收藏 | Zgao's blog - zgao.top ssh pty 攻击 凭空 安全

一次情报更新引发的DNSLOG告警排查 某客户内网机器因DNS恶意请求告警被发现，分析显示攻击者通过WMI机制植入恶意VBScript脚本并利用时间触发器实现持久化。该机器由旧镜像创建，早已被入侵，近期因腾讯威胁情报更新导致告警触发。... 2025-6-24 11:12:35 | 阅读: 20 | 收藏 | Zgao's blog - zgao.top 脚本 windows wmiobject wbem

密码保护：某黑产组织使用Ccprotect驱动保护隐藏IIS恶意dll排查分析 文章分析了某黑产组织利用Ccprotect驱动隐藏恶意DLL于IIS环境中的行为，并探讨了排查方法。... 2025-5-21 08:0:28 | 阅读: 69 | 收藏 | Zgao's blog - zgao.top zgao 赞赏 ccprotect 隐藏

IDA Pro 9.1破解版一键下载安装 文章介绍了IDA Pro 9.1多平台破解版本的一键安装脚本，提供了详细的安装步骤和Mac系统示例，并附上下载链接。... 2025-4-1 08:5:4 | 阅读: 3 | 收藏 | Zgao's blog - zgao.top 赞赏 破解 脚本 quark autodeploy

密码保护：内网gitlab代码仓库离奇删库事件溯源 本文探讨了内网GitLab代码仓库遭遇离奇删库事件的调查过程，并提出了相应的解决方案。... 2025-3-26 12:51:17 | 阅读: 1 | 收藏 | Zgao's blog - zgao.top zgao 赞赏 一日 gitlab

为正在运行中docker容器动态添加端口映射 文章介绍在Docker容器运行后忘记添加端口映射时的解决方案。通过iptables的NAT规则或socat工具添加端口转发规则，无需停止容器即可实现新的端口映射，避免了数据丢失的问题。... 2025-3-10 10:57:52 | 阅读: 8 | 收藏 | Zgao's blog - zgao.top 端口 9090 容器 dnat 映射

压缩包数据清洗最佳实践 文章探讨了处理大容量压缩包的效率问题，指出在不解压情况下清洗数据时，ZIP格式优于RAR和7Z。建议将所有压缩包统一转换为ZIP，并使用7z命令行工具进行解压和压缩以提高效率。... 2025-2-28 09:18:27 | 阅读: 13 | 收藏 | Zgao's blog - zgao.top 7z rarfile unrar 模块 压缩比

Zerotier + Openwrt异地组网高阶配置 文章介绍了通过Zerotier实现局域网互访的方案。作者最初考虑使用frp+openvpn，但因配置复杂而转向Zerotier。方案包括注册Zerotier、部署Moon服务器、客户端加入网络并连接Moon等步骤，并提供进阶玩法如在Openwrt上安装Zerotier以实现两个局域网的所有主机互相访问。... 2025-2-9 06:25:18 | 阅读: 12 | 收藏 | Zgao's blog - zgao.top moon 网络 systemctl idtool 赞赏

0889挖矿团伙rootkit后门溯源排查记录 近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名，后面简称0889组织。最近一次排查某云上挖矿的case，发现该组织通过jenkins RCE漏洞突破边界，内网横向... 2025-1-20 11:11:24 | 阅读: 30 | 收藏 | Zgao's blog - zgao.top 后门 kern jenkins 监控 安全

密码保护：某APT组织溯源记录 愿有一日，安全圈的师傅们都能用上Zgao写的工具。工具箱文章归档关于我githubGm... 2024-10-28 02:12:20 | 阅读: 5 | 收藏 | Zgao's blog - zgao.top zgao 赞赏 安全 溯源

内存取证-Volatility3手动导出Linux系统符号表 文章介绍了解决Volatility 3分析Linux内存时缺少系统符号表的问题。由于Volatility自带的符号表有限，通常需要手动导出当前系统的符号表。步骤包括安装kernel-debuginfo、使用dwarf2json工具导出符号表，并将其复制到Volatility的symbols目录中以完成内存分析。... 2024-10-5 07:14:0 | 阅读: 3 | 收藏 | Zgao's blog - zgao.top debuginfo 1160 dwarf2json el7 符号表

Esxi安装Openwrt配置旁路由 文章记录了在ESXi上配置Openwrt作为旁路由的过程，包括下载固件、转换镜像格式、创建虚拟机、配置网卡和防火墙、开启SmartDNS和OpenClash功能，以及修改设备网关地址和主路由DHCP设置，实现局域网设备科学上网。... 2024-9-11 07:18:0 | 阅读: 10 | 收藏 | Zgao's blog - zgao.top openwrt vmdk 旁路 vmfs 6a78

ESXI 8.0 Ubuntu配置NVIDIA显卡直通 文章介绍了在ESXi 8.0上为Ubuntu 22.04虚拟机配置NVIDIA 2060S显卡直通的过程，包括启用PCI直通、添加设备、修改内存设置、关闭UEFI安全引导及安装驱动等步骤。... 2024-9-5 08:5:0 | 阅读: 4 | 收藏 | Zgao's blog - zgao.top nvidia 535 直通 虚拟机 赞赏

rsync+tls 实现远程数据同步加密传输 rsync是一个高效的数据同步工具，但是使用rsync本身只支持ssh和rsync这两种传输协议。我最近遇到了一种场景是从境外的服务器上同步到国内的NAS上。直接传输很容易被G... 2024-8-22 17:21:27 | 阅读: 14 | 收藏 | Zgao's blog - zgao.top rsync proxychains slog trojan 代理

开发ko内核模块，无依赖实现监控DNS请求进程 监控Linux主机发起DNS请求的进程是应急响应中经常遇到的一个问题。虽然可以通过systemtap或者ebpf的方式实现，但是在实战场景下两者的安装都非常麻烦。ebpf不支... 2024-8-12 18:28:11 | 阅读: 7 | 收藏 | Zgao's blog - zgao.top nf ko 数据 模块

使用KAPE自动化采集并分析Windows取证数据 KAPE(Kroll Artifact Parser and Extractor)用于获取和解析 Windows 取证所需的数据源。KAPE 是一款功能强大的免费软件分类程序，它... 2024-7-29 16:46:58 | 阅读: 5 | 收藏 | Zgao's blog - zgao.top kape 数据 模块 工件 windows

Windows高级事件日志分析 Windows中有许多没有默认开启的事件日志，比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件的日志，有助于应急响应中狩猎更多的威胁。进程创建开启进程审计日... 2024-7-5 11:47:32 | 阅读: 5 | 收藏 | Zgao's blog - zgao.top 网络 windows 审计 监控 信息

加密程序：如何应对勒索软件攻击(上) 上个月刚从俄罗斯回国，在莫斯科的图书馆翻阅了大量安全书籍，感叹毛子的黑客技术确实遥遥领先。这些安全技术书籍非常出色，我决定结合人工和GPT的方式对全文进行翻译。注解前... 2024-6-12 19:1:34 | 阅读: 6 | 收藏 | Zgao's blog - zgao.top 攻击 勒索 攻击者 网络 数据

加密程序：如何应对勒索软件攻击(中) 第5章 勒索软件团伙的战术、技术和程序获取初始访问权限外部远程访问服务（T1133）利用公开应用程序（T1190）网络钓鱼（T1566）供应链攻击（T1195）启动恶意代码用户执行... 2024-6-11 15:38:0 | 阅读: 7 | 收藏 | Zgao's blog - zgao.top 攻击 勒索 攻击者 数据 网络