- 综合排序
- 最热优先
- 最新优先
- 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 工具下载地址:https://github.com/volatilityfoundation 2.Volatility安装方式 目前作者已公布了两个版本的Volatility,Volatility2是基于 Volatility2环境的安装 首先请确保系统中已安装python2环境,安装pycrypto库函数 首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz Volatility2的使用方法 (1) 获取系统基本信息 >>>python2 vol.py -f .. /Target.vmem imageinfo (2) 列出进程信息 >>> python2 vol.py -f ..
2K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 有的鼠标可能协议不是很标准,会导致分析不了。 Wireshark中捕获的USB流量集中在Leftover Capture Data模块,我们可以使用tshark工具来进行提取。 二、键盘流量 2.1 特点分析 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。 2.2 使用Wireshark捕获和分析 捕获的步骤与上面相似。下面以XCTF的高校战疫比赛中的一道例题(ez_mem&usb)来说明。 0x27: "0)", 0x2C: " ", 0x2D: "-_", 0x2E: "=+", 0x2F: "[{", 0x30: "]}", 0x32: "#~", 0x33: ";:",
3.8K20发布于 2020-04-20 - 来自专栏betasec
取证分析 | Volatility工具使用
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 工具下载地址:https://github.com/volatilityfoundation 2.Volatility安装方式 目前作者已公布了两个版本的Volatility,Volatility2是基于 Volatility2环境的安装 首先请确保系统中已安装python2环境,安装pycrypto库函数 首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz Volatility2的使用方法 (1) 获取系统基本信息 >>>python2 vol.py -f .. /Target.vmem imageinfo (2) 列出进程信息 >>> python2 vol.py -f ..
12K30发布于 2021-09-23 - 来自专栏FreeBuf
针对爱尔兰DDoS攻击的取证分析
本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian 系统面板,该系统通过 SPAN 端口监控网络边界流量。 第一张图展示了没有遭受攻击时的网络相关流量信息,从图中我们发现: 1、主要流量为 IPv4; 2、超过 97% 的流量为 TCP,而 UDP 流量只占到非常少的比例。 进一步分析 UPD 流量发现,网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要,所以无法直接将其屏蔽。 更进一步分析,我们可以计算出接收到的 NTP 应答包平均大小为 440 字节,这明显大于标准的 NTP 应答包(90字节)。 大部分情况下这是不行的,但如果你是一个教育或政府机构也许可以在 ISP 层面解决这个问题; 2、如果是自己架设 WEB 应用服务器可以考虑部署一个 DDoS 防御系统。
1.4K70发布于 2018-02-07 - 来自专栏安全预演
APT取证分析怎么做?
与其他普通网络攻击不同,APT攻击的取证分析更为复杂,一般可以按照以下几个步骤来进行:1、收集取证数据:收集与攻击有关的日志文件、网络流量数据、文件系统快照、内存镜像等数据。 2、鉴别数据源:根据收集到的数据,鉴别其来源,例如是来自于网络流量、应用程序日志还是文件系统。然后将这些数据进行分类,并进行分析。 此外,APT攻击的取证分析需要具备以下技能:1、熟悉网络安全知识:需要具备深入的网络安全知识,了解APT攻击的行为和特征,能够通过分析网络流量、应用程序日志和文件系统等数据来识别APT攻击。 2、熟悉操作系统和网络设备:需要熟悉被攻击系统的操作系统和网络设备,了解其日志格式和数据结构,能够根据日志数据来分析攻击行为。 3、熟悉取证工具:需要熟悉各种数字取证工具,例如网络取证工具、内存取证工具、文件系统取证工具等,能够使用这些工具来收集和分析数据。
98220编辑于 2023-02-19 - 来自专栏漏斗社区
攻击取证之日志分析(一)
为了可以更好的演示,这边使用的是NCSA普通日志格式,它的格式如下: 常用日志分析方法 常见的日志分析方法有两种: 1.特征字符分析 2.访问频率分析 特征字符分析: 特征字符分析法:顾名思义,就是根据攻击者利用的漏洞特征 name=admin' ■ 参数后加' and '1'='2和' and '1'='2,访问正常:sql1.php?name=admin' and '1'='1 /sql1.php? id=1' ■ 参数后加and 1=1和and 1=2,访问正常:sql2.php?id=1 and 1=1/sql2.php? id=1 and 1=2 ■ 参数后加and sleep(5),是否延迟3秒打开:sql2.php? and version()>0返回正常 id=2 and length(user())>0返回正常 id=2 CHAR(97, 110, 100, 32, 49, 61, 49)返回正常 ■ Oracle
4.1K20发布于 2019-05-13 - 来自专栏网络安全与可视化
如何成功执行网络取证分析?
我们都遇到过各种网络问题,有时会需要网络取证分析。但是您或许不知道从哪里开始,该怎么办?或者,更准确地说,您不知道需要什么硬件来捕获网络线上的信息,以及在分析数据时需要寻找什么? 作为安全分析师,您需要查找正确的症状来快速检测网络中的异常。当然,这需要多年的实践和正确的网络取证工具。 为了对情况进行正确的评估,查看您可以获得的所有信息是非常重要的。 选择正确的工具后,下一步就是监视和分析。以下是一些(重要的)恶意活动(事件计时、网络检查等),在执行网络取证分析时应注意这些活动。 要快速确定是否发生DoS攻击,要先在使用的软件分析工具中进行筛选,查看TCP数据包。使用该工具查看数据包序列图,图上用箭头表示源系统和目标系统之间的TCP连接流。 无论如何,正如我们在本文开头提到的那样,您的网络安全团队需要正确的网络取证工具,可以完全访问网络,以便正确评估情况并采取相应措施。 有兴趣了解为什么如今网络安全如此挑战吗? 可以阅读这篇文章。
1.5K11发布于 2020-05-12 - 来自专栏漏斗社区
CTF| 攻击取证之内存分析
基本概念 在CTF中,内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取flag或者与flag相关重要信息。 解题思路 斗哥根据近来做题心得以及前人经验,明白了内存取证三步曲:解析Windows/Linux/Mac OS的内存结构、分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。 了解完内存取证的解题思路后,就要开始了解一下解题所需要用到的工具,这里斗哥给大家推荐一个比较好用的开源内存取证框架----Volatility。 开源内存分析框架--Volatility 给大家介绍一下,Volatility Framwork是一款开源的基于Python开发的内存分析框架,它自带的分析插件支持分析内存镜像中所保留的历史网络连接信息 2. 得到配置文件后,我们可以使用对应的配置文件进行相应的查询 a.
8K41发布于 2019-04-29 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 这样一来,我们就可以将注意力放到最重要的部分,即我们实际想要看到的内容,以及如何通过内存取证分析达到我们的最终目标。 需要注意的是,内存映像加载完成后,取证分析操作可能需要等待一段时间才能执行完毕。 总结 每一种安全分析和调查都有其独特的的目标,而深入分析取证文件所采用的方法也因实际情况而定。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
60710编辑于 2024-06-11 数字取证与分析-----logs.pcapng
数据分析-logs 1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为 Flag(形式:[robots.txt])提交: 通过分析:恶意用户为172.16.1.10 目录扫描文件,从站点去扫描具体的文件,指向http ip.src == 172.16.1.10 and http Flag:[star.php] 2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交 http,一为tcp ip.src == 172.16.1.10 and tcp Flag:[21,80,445,1433,3306,3389,5000] 3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么 ,并将一句话密码作为Flag(形式:[一句话密码])提交: Flag:[007] 6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag(形式:[文件名
22410编辑于 2025-10-23数据分析数字取证A.pcapng
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。 Ethereal是全世界最广泛的网络封包分析软件之一。 数据分析数字取证 任务环境说明: 渗透机场景:windows 7 渗透机用户名:administrator,密码:123456 通过分析数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为 :192.168.10.10,192.168.10.30 通过分析数据包A.pcapng,找到域服务器的密码是多少,将该密码作为FLAG提交; Flag:163.com 通过分析数据包A.pcapng,
17610编辑于 2025-10-23数据分析与取证capture.pcapng
数据分析与取证capture.pcapng wireshark wireshark–capture.pcapng数据包 什么是wiresharek? wireshark–capture.pcapng数据包 1.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件,telnet服务器是一台路由器,找出此台路由器的特权密码 进入特权模式的时候,>会变成# 直接ctrl+f 搜索# 2.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件,FTP服务器已经传输文件结束,将建立FTP服务器的数据连接的次数作为 根据题目意思过滤 点开第一个(随便哪一个都可以) 4.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件,这些数据中有非常多的ICMP报文,这些报文中有大量的非正常 57 5.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件,这些数据中有ssh报文,由于ssh有加密功能,现需要将这些加密报文的算法分析出来,将ssh服务器支持的第一个算法的密钥长度作为
35110编辑于 2025-10-23- 来自专栏网络安全攻防
WireShark网络取证分析第五集
Windows XP电脑刚刚被感染了 现在的你是调查员且拥有记录Moneymany女士与网站互动的网络截图(PCAP)文件,您的任务是了解Moneymany女士点击链接后她的系统可能会发生什么情况,您的分析将从 2.Moneymany女士在被感染的Windows系统上的用户名是什么? 3.这个事件的起始网址是什么?换句话说Moneymany女士可能点击了哪个网址? 此外请注意为了完成对该事件的全面分析,我们应该检查进入Moneymany女士系统的恶意可执行文件,这个任务超出了这个特定谜题的范围,但是我们可以在后面的谜题中看到它 报文分析 报文下载:https:// ,在这里有一个问题就是不知道什么时候会在通信数据包中留下受害者用户的hostname,但是考虑到病毒被下载到本地并且恶意软件已经感染了受害者的机器,所以后期会与C2进行交互窃取用户数据,给予这一假设回到 NetWorkMiner也可以直接辨别,因为如果是没有进行DNS解析那么IP地址后面是不会有对应的域名的,如果有域名则说明有域名的解析操作 文末小结 本篇文章主要介绍通过wireshark对恶意通信流量的分析
88321编辑于 2023-11-16 - 来自专栏FreeBuf
走进计算机取证分析的神秘世界
该报告包括一个计算机模型调查,数据收集和它的类型,并购的证据,取证工具,恶意调查,计算机取证的法律问题,最后这份报告还提供了必要的建议,对策和政策,以确保这一中小企业在一个安全的网络环境。 2. 取证镜像包含一些额外的数据,如哈希和时间戳,并压缩了空的磁盘块。取证镜像使用MD5或SHA-2值确保数字证据的完整性。 :more < file1.txt:file2.txt W2K.Stream和Win2K.Team是使用数据流开发的病毒,作用是改变原始的数据流。 这里可以总结2个重要的结论。 同样还介绍了为什么我们使用这个取证模型并取证分析了模型的前4步也是取证的最重要的步骤。报告包含分析过程- 获取的证据以及分析的结果,包含建议 – 避免发生同样的问题。
2.2K100发布于 2018-02-02 - 来自专栏网络安全攻防
WireShark网络取证分析第二集
报文分析 分析流程: Step 1:使用WireShark打开数据报文 Step 2:既然是使用的电子邮件进行通信的,那么我们直接过滤SMTP协议即可 Step 3:直接跟踪TCP数据流获取通讯数据信息 ——aadeace50997b1ba24b09ac2ef1940b7 文末小结 本篇文章主要以邮件通讯协议SMTP为基座通过对网络数据报文进行分析取证获取证据信息,从中主要涉及WireShark显示过滤器的使用 、SMTP协议报文分析、通讯数据源文件还原、文件Md5计算取证等相关知识信息,总体而言算是一个非常不错的示例
1K51编辑于 2023-05-12 - 来自专栏网络安全攻防
WireShark网络取证分析第四集
实际上在设施内部(通过一个被入侵的系统)他进行了一些嘈杂的网络侦察,可悲的是X先生还不是很隐蔽,对X先生来说不幸的是实验室的网络被装备来捕获所有流量(包括全部内容),他的活动被你发现和分析! 作为网络取证调查人员,您的任务是回答以下问题: 1.X先生的扫描器的IP地址是什么? 2.X先生进行的第一次端口扫描是什么类型的端口扫描? (请从最低到最高列出小数) 报文分析 报文下载: https://forensicscontest.com/contest04/evidence04.pcap 分析流程: 首先使用wireshark打开数据包 我们可以直接使用以下语句进行检索,可以看到仅139和135端口号 tcp.flags.syn ==1 && tcp.flags.ack == 1 && ip.ttl ==128 文末小结 本篇文章通过数据报文分析对
55521编辑于 2023-11-06 - 来自专栏网络安全攻防
WireShark网络取证分析第三集
题目介绍 安和X先生已经建立了他们新的经营基地,在等待引渡文件通过时,你和你的调查小组秘密监视她的活动,最近Ann得到了一台全新的AppleTV并配置了静态IP地址192.168.1.10,本次分析的文件正是捕获她最近的活动 报文分析 分析流程: Step 1:使用WireShark打开数据报文 Step 2:查看第一个数据包文件我们从数据链路层以太网帧头部信息中可以得到第一个问题的答案 安的AppleTV的MAC地址是什么 ——00:25:00:fe:07:c4 Step 2:从数据报文中可以看到这里首先进行了一次DNS查询,之后与目标地址a1108.da1.akamai.net通过TCP三次握手建立了连接,通过查阅下面的 ——http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v Step ——iknowyourewatchingme 文末小结 本篇文章主要对网络取证分析进行了一个简易的实践,其中主要涉及到数据报文的显示过滤以及数据报文类型的区分和数据报文的结果,以及对数据报文上下文之间的关联的分析
65221编辑于 2023-05-12 - 来自专栏安全预演
分析攻击结果?网络攻击溯源和取证
2. 分析证据 收集证据后,需要对证据进行分析。分析证据的目的是找出攻击的来源和攻击方式。 此外,还可以尝试分析攻击者的工具和技术,以进一步确定他们的身份和位置。5. 取证 追踪攻击来源后,需要采取行动,以取证。取证的目的是确定攻击者的身份和行为,并在必要时向执法机构提供证据。 取证需要遵循严格的程序,以确保证据的完整性和可信度。6. 分析取证结果 最后,需要分析取证结果,并确定是否有足够的证据支持你的指控。 分析证据和取证需要高度技术和专业知识。如果缺乏这方面的知识和经验,可以考虑聘请专业的网络安全公司或数字取证专家提供帮助。攻击者可能会采取措施来掩盖他们的身份和行踪。 这需要使用网络取证和数字取证等技术手段,分析攻击者的行为和行踪,以确定攻击者的身份和行为。收集证据:在追踪攻击者的过程中,需要收集证据以支持后续的法律追诉。
2.9K20编辑于 2023-02-19 - 来自专栏网络安全攻防
WireShark网络取证分析第一集
因为在建筑物内没有看到陌生人,An的电脑(192.168.1.158)通过无线网络向这台电脑发送了即时消息,之后这台流氓笔记本电脑很快就消失了,根据安全人员报告目前有捕获到一个活动的数据包,但我们不知道发生了什么,需要进行协助分析 报文分析 Step 1:下载数据包到本地后使用wireshark打开 Step 2:由于已知An的电脑(192.168.1.158)通过无线网络向电脑发送了即时消息,那么我们可以直接过滤IP地址定位到相关的数据包 ,这里的前四个字节即为文件的幻数,也就是docx的幻数,即——50 4B 03 04,不过我们还是选择直接提取一次看看,首先跟踪TCP数据流发现当前流为2,数据如下,这里很明显的并不是我们想要提取的recipe.docx
1K31编辑于 2023-05-12 - 来自专栏AI SPPECH
AI助力CTF取证:数字痕迹的智能追踪与分析
我们将结合DEFCON CTF、Pwn2Own等顶级赛事的真实案例,展示AI在取证分析中的强大潜力,并通过代码演示,让读者亲身体验AI辅助CTF取证分析的魅力。 目录 CTF取证分析的挑战与AI的机遇 AI辅助取证分析的核心技术 从磁盘到内存:全方位数字痕迹分析 DEFCON CTF 2024:AI破解取证挑战的经典案例 代码演示:基于深度学习的自动化内存取证分析系统 AI与CTF取证分析的未来展望 一、CTF取证分析的挑战与AI的机遇 1.1 传统取证分析的痛点 CTF中的取证分析挑战,通常涉及多种数据源和分析方法,每个环节都面临着巨大的技术挑战: 数据量大且复杂 3.2 内存取证分析策略 内存取证能够提供系统运行时的关键信息,AI在内存取证分析中的应用包括: 进程识别与分析:自动识别内存中的进程,分析进程的行为和状态。 (64, (3, 3), activation='relu', padding='same')(x) x = MaxPooling2D((2, 2))(x) x = Conv2D(128
49410编辑于 2025-11-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号