第二次授课内容

1、第二次课程内容讲评。

服务枚举

服务的二进制的路径获取这块,对于代理执行这种类型的服务,枚举结果这是不正确,(同步读取文件可能导致,文件打开失败。服务可能带有比较高的权限;独享式打开的时候,非第一次打开文件的程序再次打开就会失败;复制之后再计算,遇到有保护的模块或者程序文件夹时,带有保护驱动,父进程:explorer.exe,操作目标对象,父进程非explorer.exe,操作归属的判断。Rootkit ,是在驱动层里面去获取文件内容,然后再计算hash。异步处理,创建一个线程去完成高负荷的计算任务,条件判断,检测当前计算机负荷量,信号量,Create/wait(阻塞),set(子线程)。)

AutoRuns

AutoRuns,这个工具是微软自己开发,涉及自启动类的一些键的位置。自启动常用于下一次系统恢复时,把软件给运行起来。ATT&CK,叫做系统功能滥用(abuse)。这个功能本来是系统提供的,但是在恶意软件使用的时候,就会产生比较坏的结果,存活就可以多干活。系统的自启动:系统开机之后会随之运行特定键下的所有子键的可执行程序。类似powershell自启动:系统启动之后,判断是否达到特定的条件,达到条件后再启动事先注册的程序。从安全软件的防护角度去看,一是有多少位置,需要关注的,二是,得把里面需要检查得二进制路径全部搞出来。从恶意软件得角度出发,不让这个安全软件找到我的隐藏的注册表键值路径,最简单的例子,API HOOK 拦截;不让安全软件读懂我的二进制路径,最经典的例子,就是数据编码base64,有两类:一类是现有算法,一类是自定义算法。

补充程序

补充的小后门的逆向,用户角度看,一个是这个恶意软件在我的系统里面干了什么,产生什么影响;(找特定文件:Spyware,Stealer;修改文件:勒索软件,蠕虫,感染型病毒;添加文件:就是木马下发,广告下发;收集实时产生的一些信息:音频,视频;收集系统相关的而信息,收集系统特有的信息,收集文档类的信息(doc,docx,ppt,pptx,excel,txt,jpeg,png,pdf,md,特定的设计软件产生的文件)),(对于我的这个主体,机密丢失,系统服务瘫痪等等)。程序员的角度看:功能点,多少功能,这些功能的实现细节是什么,这些功能我什么时候能用;检测是否该软件会多次查找杀软信息:首先我得搞一个WMI_HOOK,WQL语句,从这个语句中,寻找Anti*字段,出现得一个次数来判断这个软件的意图,特别是从不同的查询域,画像信息:该软件非常关注杀软。

2、白名单技术详解

简单的理解为:数据库的一个查询的应用。本质上就是一个查表的操作。数据表里面是预先收集好的白文件信息。对于已知的文件鉴定效果非常好。一台机器上需要处理的文件:一类是已知文件(85%),一类未知的(15%)。检测的时效性,检测的准确性文件。
白文件的信息:能描述这个文件特点的一些属性,比如说:文件大小,文件hash(md5,sha-1,sha-256),文件类型,文件签名信息(签名解析,能拿到签名中的签名者,签名算法,签名的密钥等等);
白名单采集流程:预装正版的系统,然后通过程序去采集该系统上的所有文件信息,录入到白名单数据库中。(文件的录入和删除[误报反馈机制])
白名单的查询:和采集所用的程序一样的功能,把目标机器上所有的文件信息采集上传,依据服务端对比结果,判断该文件是否为白。
白名单的迭代:有新的收集上来的白文件,需要入库;白文件数据库中混入黑文件时,需要剔除。让数据库中的数据,经得住考验。
网络传输协议设计:

1、client 产生结构体: struct{ CHAR hash[256]; ULONG size; CHAR
versign[256]; BOOL signed; }

2、send(通常会把这个传输的结构体做编码或者加密,压缩,把回传信息量尽可能的减少,1kb,1kb,1w)—>server

3、server 检查这个结构体 1,2,3,4 ,除了判断当前文件是否是白之外,当前文件是否在数据库中,是否属于疑似白文件。

4、server—> client

3、木马程序结构分析

木马程序 Trojan.
(基本操作:网络连接,连接到服务端;会回传信息【敏感信息:包括系统硬件相关信息,用户相关的信息】,商用软件上,这个软件是否有名;TeamView和灰鸽子,这个模块是否加壳,UPX,VMP,这个模块的文件属性(隐藏),文件路径(临时文件加目录,或者C:\User\Public\xxxxxx),文件名字(乱码,看不懂的),文件大小(特别小99。9%))

间谍程序 Spyware.
(木马程序的基本特点,在此基础上,有特有的功能:所收集的信息具有特定属性,特定类型文档,红头文件,机密,绝密,实时的信息收集:音频,视频,)商业间谍,APT国家间谍。

窃密程序 Stealer.
(木马程序的基本特点,在此基础上,有特有功能,收集一些保密性质的东西,普遍性,只要是我就要,FTP,Outlook,浏览器相关等这些账号密码,内网机器的账号密码,非对称加密的密钥文件,网站服务器口令等等,简单来说,这个东西是个密,它都要)

后门程序
Backdoor.(木马程序的基本特点,在此基础上,有特有功能,有预留的可以从外内连接通道,强调的是复用性,和木马还有一个共同特点就是:和被控端的一个交互功能,文件操作,数据的上下载,可执行程序的运行)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/149929.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ArrayList中放的是一个对象,如何同时根据对象中的三个字段对List进行排序

import java.util.ArrayList; import java.util.Collections; import java.util.Comparator;public class YourObject {private int field1;private String field2;private double field3;// 构造函数和其他代码public int getField1() {return field1;}public String getField…

3298:练50.1 查分程序《信息学奥赛一本通编程启蒙(C++版)》

3298:练50.1 查分程序《信息学奥赛一本通编程启蒙(C版)》 【题目描述】 尼克,格莱尔等5位同学进行了一次信息学测试,试编一程序,实现查分功能。先输入成绩,然后输入学号输入相应的成绩。 【输…

〖大前端 - 基础入门三大核心之JS篇㊲〗- DOM改变元素节点的css样式、HTML属性

说明:该文属于 大前端全栈架构白宝书专栏,目前阶段免费,如需要项目实战或者是体系化资源,文末名片加V!作者:不渴望力量的哈士奇(哈哥),十余年工作经验, 从事过全栈研发、产品经理等工作&#xf…

Python数据分析实战① Python实现数据可视化

文章目录 一、数据可视化介绍二、matplotlib和pandas画图1.matplotlib简介和简单使用2.matplotlib常见作图类型3.使用pandas画图4.pandas中绘图与matplotlib结合使用 三、订单数据分析展示四、Titanic灾难数据分析显示 一、数据可视化介绍 数据可视化是指将数据放在可视环境中…

.Net中Redis的基本使用

前言 Redis可以用来存储、缓存和消息传递。它具有高性能、持久化、高可用性、扩展性和灵活性等特点,尤其适用于处理高并发业务和大量数据量的系统,它支持多种数据结构,如字符串、哈希表、列表、集合、有序集合等。 Redis的使用 安装包Ser…

wpf devexpress 排序、分组、过滤数据

这个教程示范在GridControl如何排序数据,分组数据给一个行创建一个过滤。这个教程基于前一个教程。 排序数据 可以使用GridControl 排序数据。这个例子如下过滤数据对于Order Date 和 Customer Id 行: 1、对于Order Date 和 Customer Id 行指定Colum…

代码随想录算法训练营Day 55 || 583. 两个字符串的删除操作、72. 编辑距离

583. 两个字符串的删除操作 力扣题目链接(opens new window) 给定两个单词 word1 和 word2,找到使得 word1 和 word2 相同所需的最小步数,每步可以删除任意一个字符串中的一个字符。 示例: 输入: "sea", "eat"输出: …

Linux虚拟机中网络连接的三种方式

Linux 虚拟机中网络连接的三种方式 先假设一个场景,在教室中有三个人:张三、李四和王五(这三个人每人有一台主机),他们三个同处于一个网段中(192.169.0.XX),也就是说他们三个之间可…

深度学习_13_YOLO_图片切片及维度复原

需求: 在对获取的图片进行识别的时候,如果想减少不必要因素的干扰,将图片切割只对有更多特征信息的部分带入模型识别,而剩余有较多干扰因素的部分舍弃,这就是图片切割的目的,但是又由于模型对图片的维度有较…

计数排序.

一.定义: 计数排序(Counting Sort)是一种非比较性质的排序算法,其时间复杂度为O(nk)(其中n为待排序的元素个数,k为不同值的个数)。这意味着在数据值范围不大并且离散分布的情况下,规…

Spring Cloud学习(十)【Elasticsearch搜索功能 分布式搜索引擎02】

文章目录 DSL查询文档DSL查询分类全文检索查询精准查询地理坐标查询组合查询相关性算分Function Score Query复合查询 Boolean Query 搜索结果处理排序分页高亮 RestClient查询文档快速入门match查询精确查询复合查询排序、分页、高亮 黑马旅游案例 DSL查询文档 DSL查询分类 …

QT day3作业

1.思维导图 2、 完善对话框,点击登录对话框,如果账号和密码匹配,则弹出信息对话框,给出提示”登录成功“,提供一个Ok按钮,用户点击Ok后,关闭登录界面,跳转到其他界面 如果账号和密…

Oracle 11g 多数据库环境下的TDE设置

19c的TDE wallet的设置是在数据库中设置的,也就是粒度为数据库,因此不会有冲突。 而11g的设置是在sqlnet.ora中,因此有可能产生冲突。 这里先将一个重要概念,按照文档的说法,wallet是不能被数据库共享的。 If there …

不懂找伦敦银趋势?3个方法搞定

趋势是我们的朋友,但是这个朋友却很喜欢跟我们开玩笑,如果我们不留意,根本发觉不了它的存在。怎么找到趋势本体并且和它做个好朋友呢?下面我们就来介绍三个方法。 数波段的高点和低点。我们以当前的市场波动价格为轴,向…

IDEA中更换java项目JDK

我们打开IDEA 打开项目 然后选择 File 下的 Project Structure 这里 我们下拉选择自己需要的JDK Sources这里 也要设置一下JDK对应版本 然后 上面这个 Project 中 也要设置一下对应jdk的版本 保持一直 然后 我们打开 File 下的 Settings 然后 找到如下图配置 如果JKD版本看…

深度学习人体语义分割在弹幕防遮挡上的实现 - python 计算机竞赛

文章目录 1 前言1 课题背景2 技术原理和方法2.1基本原理2.2 技术选型和方法 3 实例分割4 实现效果5 最后 1 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 深度学习人体语义分割在弹幕防遮挡上的应用 该项目较为新颖,适合作为竞…

Unity Meta Quest 一体机开发(七):配置玩家 Hand Grab 功能

文章目录 📕教程说明📕玩家物体配置 Hand Grab Interactor⭐添加 Hand Grab Interactor 物体⭐激活 Hand Grab Visual 和 Hand Grab Glow⭐更新 Best Hover Interactor Group 📕配置可抓取物体(无抓取手势)⭐刚体和碰撞…

mysql 集群恢复

准备使用集群的时候发现集群起不来, 发现抱错集群各个节点都是readonly 状态,找了很多资料,由于集群处于不一致的情况需要防止不同的节点数据写入脏数据 取消节点readonly 方法如下: MySQL 取消 super read only 直接关闭read…

Angular 路由无缝导航的实现与应用(六)

文章目录 什么是 Angular 路由配置路由模块在模板中使用路由链接在组件中获取路由参数 Angular 是一种流行的前端开发框架,它提供了强大的路由功能,用于构建单页应用程序(SPA)。本文将介绍 Angular 路由的基本概念和使用方法&…

【计算机网络】P1 计算机网络概述

P1 计算机网络概述 概念组成角度1:组成部分角度2:工作方式角度3:功能组成 功能分类按分布范围分按使用者分按交换技术按拓扑结构分按传输技术分 标准化工作及相关组织标准化工作相关组织 概念 三网融合 通过 计算机网络,将 电信…