进都进来了,不顺手点赞评论么?

 分类:应急响应

【原创】通过推理时区进行攻击溯源

【原创】通过推理时区进行攻击溯源
最近博主在研究如何通过行为分析的方式进行溯源,结果发现这方面的知识在网上很少找得到。 所以博主决定来分享一下如何通过对PE中的时间、日志、发帖时间等推理攻击者活动时区。因为这方面的资料比较少,所以博主会尽量讲的细一些。 咱们先从PE中的时间讲起 ,有些基础的小伙伴可...

Wangyeyu2015 2天前 10℃ 0喜欢

【原创】通过PDF攻击溯源

【原创】通过PDF攻击溯源
“PDF是Portable Document Format的简称,意为“可携带文档格式”,是由Adobe Systems用于与应用程序、操作系统、硬件无关的方式进行文件交换所发展出的文件格式。PDF文件以PostScript语言图象模型为基础,无论在哪种打印机上都可保证精确的颜...

Wangyeyu2015 6天前 23℃ 0喜欢

【原创】通过PE中的“富签名”进行攻击溯源

【原创】通过PE中的“富签名”进行攻击溯源
众所周知,Windows PE文件结构长这样。 落到文件就像是这样,其中“■”颜色选中的地方是“IMAGE_DOS_HEADER”。 按照微软的文档说明,结构应该是这样: 是不是感觉怪怪的,好像与文档对不上? 我们可以尝试着人工先...

Wangyeyu2015 1个月前 (11-01) 92℃ 6喜欢

【原创】通过lnk文件进行攻击溯源

【原创】通过lnk文件进行攻击溯源
近期发现了一些恶意的Lnk样本,忽然想到之前研究过Lnk文件的结构,就在此向大家分享一些有用的知识点,希望大家有所收获。 在Lnk文件中有很多字段,其中有一些字段很有意思,包括:“MachineID”、“MAC Address”、“SID”、“DriveSerialNum...

Wangyeyu2015 1个月前 (10-31) 65℃ 0喜欢

【原创】通过压缩文件进行攻击溯源

【原创】通过压缩文件进行攻击溯源
最近研究了一下部分压缩文件的文件头,发现在RAR中存在一个很有意思的字段”FILETIME mtime”,在RAR4的压缩中不会将其转到UTC+0的时间,即在RAR4中压缩时,所使用的时间为本地时间,那么这个信息有什么意义呢? 假设,在东京(UTC...

Wangyeyu2015 2年前 (2021-05-19) 857℃ 0喜欢

应急响应清单 emergency response checklist

应急响应清单 emergency response checklist
PS:好久没更新博客了,我收集了些应急响应的事件处理方案,希望可以帮到大家 应急响应综合 应急响应类型 web入侵:挂马、网页篡改(博彩/黑帽SEO等)、植入webshell,黑页,暗链等主机入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破...

Wangyeyu2015 2年前 (2020-10-20) 1360℃ 0喜欢

隐藏
变装