05 2018 档案
摘要:1、MySQL UDF是什么 UDF是Mysql提供给用户实现自己功能的一个接口,为了使UDF机制起作用,函数必须用C或C ++编写,并且操作系统必须支持动态加载。这篇文章主要介绍UDF开发和利用的方法。 2、UDF开发 操作系统:Windows 10 测试环境:PHPStudy+Mysql 5.5
阅读全文
摘要:在/etc/shadow文件里面,第三个字段标识表示密码修改日期:这个是表明上一次修改密码的日期与1970 1 1相距的天数。如果账户自创建后,没有修改过密码,就可以使用这个字段来查找账号创建日期。
阅读全文
摘要:1、基础知识 /etc/passwd:记录着用户的基本属性,所有用户可读 字段含义如下: 用户名(login_name):是代表用户账号的字符串。通常长度不超过8个字符,由大小写字母和/或数字组成。 口令(passwd):存放加密后的用户口令字符。真正的加密后的用户口令字存放到/etc/shadow
阅读全文
摘要:1、硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。 1.1 本地取数据 查看磁盘及分区 获取整个磁盘镜像文件 1.2 远程取硬盘数据· 克隆硬盘或分区的操作,不应在已经mount的的系统上进行,采取远程取的
阅读全文
摘要:```
## 1、取证工具 - LiME 内存获取工具
- volatility 内存分析工具 ## 2、机器信息收集 #sysinfo 16 # # 查看当前登录用户
who > who.txt
# # 显示目前登入系统的用户信息
w > w.txt
# # 显示时间
date > date.txt
# # 查看CPU信息
cat /proc/cpuinfo > cpuinfo.txt...
阅读全文
摘要:1 概述 近期遇到个使用CentOS 5.5的系统,生产环境没有GCC、GDB。要对这台机器抓取关键内存回去用volatility分析。 思路1:使用工具Dump某个进程的内存。使用cat /proc/[进程PID]maps抓出进程关键内存。 在github有相似的工程可以参考:https://gi
阅读全文
摘要:1、前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔记记录。 2、volatility Windows命令 与分析Linux镜像相似,而Windows系
阅读全文
摘要:1、网络特征 2、文件特征 通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件。 3、受感染特征 参考: 【病毒分析】Virut.ce 感染型病毒分析报告 http://www.cnblogs.com/17bdw/p/7776877.html 4
阅读全文
摘要:一、取证特征 1)网络域名特征 2)文件特征 母体文件 3)系统现象 CPU占用率100% 4)系统补丁号 二、已感染病毒主机处置 1)感染主机处置 针对已感染WannaCry病毒的主机,首先进行断网隔离,判断加密文件的重要性,决定是否格式化磁盘重装系统,还是保持断网状态等待进一步解密进展。 如果内
阅读全文
摘要:一、取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建一个以 PID 命名的文件夹,在该文件夹下会有进程信息。 用lsof查看某个路径下的进程列表,木马文
阅读全文
浙公网安备 33010602011771号