- 综合排序
- 最热优先
- 最新优先
- 来自专栏漏斗社区
CTF| 攻击取证之内存分析
解题思路 斗哥根据近来做题心得以及前人经验,明白了内存取证三步曲:解析Windows/Linux/Mac OS的内存结构、分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。 斗哥认为暂时可以不用,只要我们在拿到内存数据文件时,能够判断该内存是哪种格式的。常见的内存文件格式有img、dmp、raw、vmem等。 知道了内存格式之后呢,就需要开始分析内存数据了,通过对应格式下的内存所在的对应的系统,我们可以使用对应的工具去进行分析。最后根据题目提示,进行针对性的去提取我们所需要的内存数据。 开源内存分析框架--Volatility 给大家介绍一下,Volatility Framwork是一款开源的基于Python开发的内存分析框架,它自带的分析插件支持分析内存镜像中所保留的历史网络连接信息 从内存中转储指定的密码hash memdump 转储出可寻址的内存数据 hivedump 打印内存中指定的注册表信息 dumpfiles 提取内存映射以及缓存文件 procdump 将进程转储到可执行文件中
7.9K41发布于 2019-04-29 - 来自专栏有价值炮灰
Linux内存管理与KSMA攻击
KSMA的全称是Kernel Space Mirror Attack,即内核镜像攻击。本文主要记录对该攻击方法的原理分析以及Linux内核中相关内存管理部分。 扯远了,总之目前就是内存管理单元,或者说内存管理模块,实现虚拟地址到物理地址的转换。 所以,操作系统需要有一种方法去给不同进程分配物理内存并进行管理,而且一般是动态管理。 ] = 0x100 index2 = bits[29:21] = 0x0 index3 = bits[20:12] = 0x175 offset = bits[11:0] = 0x770 对于KSMA攻击而言 实现 要实现KSMA攻击,首先需要初始化一个新的映射关系。指定一片未被使用的虚拟地址空间为mirror_base,令其映射到内核加载虚拟地址对应的物理地址页kernel_phys。
1.9K50编辑于 2023-02-12 - 来自专栏张高兴的博客
RowHammer 攻击:内存的隐形威胁
今天看了一篇 IT 之家关于AMD 处理器受 RowHammer 内存攻击影响的报道,心血来潮了解了一下 RowHammer 攻击的原理,把了解到的知识记录下来。 通过在一定模式下的高频率反复内存访问,攻击者可以在其原本无权访问的内存区域引发存储值的变化。这种攻击可以导致权限提升、数据泄漏和拒绝服务等安全问题。 在内存如“白菜”价的今天,不改变内存电路板面积大小的前提下,为了能存储更多的数据,只能将存储单元排列的越来越近,密度大幅度增加。虽然芯片的制程有所提升,但每个电容之间的隔离不是完全的。 这种比特翻转可以被恶意利用,攻击者可以通过精心设计的内存访问模式来控制比特翻转的位置和结果。 更何况程序在访问内存数据时,并不会直接使用内存中的真实地址,而是使用虚拟地址映射的方式进行访问。
58520编辑于 2025-05-21 - 来自专栏量子位
新型内存攻击,专治制程提高的芯片
但是随着芯片制程技术的提高,内存的漏电问题更加严重,这有可能导致比特翻转,数据泄露,会进一步影响整个器件和系统的性质。 很多原先只存在于理论上的攻击方法,如今在现实中也确确实实地发生了。 ? 研究人员发现了一种“半双工”的新型Rowhammer攻击技术(下文简称“R攻击”),它可以通过操纵计算机内存芯片DRAM (动态随机存取存储器)中的电荷来破坏或泄露数据。 ? 提到这种R攻击的问题,还得从技术上说起。 R攻击技术原理 其实,2014年的一篇论文就在当时主流的DDR3内存中就首次讨论了R攻击的可能性。 由于被攻击的单元格的值发生了变化,它导致相邻行的数据也发生变化。 这意味着在理论上,攻击者可以改变内存中任何比特的值,通过翻转足够多的比特,攻击者甚至可以操纵目标系统。 这是因为又有了一些新变化: 目前的R攻击技术主要采用了“半双工”技术。 此前通过重复访问一个内存地址,只可以访问相邻行的 DRAM 地址。
56530发布于 2021-06-17 内存攻击新威胁:Rowhammer攻击的全面防护指南与腾讯云主机安全解决方案
一、 Rowhammer攻击:硬件漏洞的软件化利用 Rowhammer攻击的核心原理是通过高频次访问特定内存行(攻击行),引发相邻行(受害行)的电荷泄漏,导致比特翻转(bit flip)。 目标行刷新(TRR):内存控制器主动监控并刷新频繁访问行的相邻行,防止电荷积累导致的比特翻转。 增加刷新频率:将内存刷新率提升至标准值的3倍可有效阻止凤凰攻击,尽管会带来约8.4%的性能开销。 软件与系统层面 访问模式监控:操作系统和驱动程序可检测异常高频内存访问,当单位时间内访问同一行超过阈值时触发限速或进程隔离。 内存分配策略:将敏感数据与易受攻击区域隔离,降低攻击成功率。 攻击者若尝试通过内存破坏执行木马,文件查杀模块可立即隔离并清除威胁。 多维度入侵检测:实时监控异常登录、密码破解、恶意请求、高危命令、本地提权、反弹Shell等攻击行为,形成纵深防御体系。 立即访问腾讯云官网了解主机安全产品详情,为您的服务器筑造铜墙铁壁,从容应对包括Rowhammer在内的各类内存攻击威胁。
17910编辑于 2026-03-12- 来自专栏区块链入门
【攻击】日蚀攻击,女巫攻击,重放攻击,DDOS攻击的定义?
<3>【重放攻击(Replay Attacks)】 又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。 在日蚀攻击中,攻击者不像在女巫攻击(Sybil attack)中那样攻击整个网络,而是专注于隔离和瞄准某个特定节点。这种攻击通常会导致受害者节点接收到被操纵的、伪造的区块链视图。 分布式拒绝服务攻击方式在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。 攻击方式: 1、SYN Flood攻击 SYN Flood攻击是当前网络上最为常见的DDoS攻击,它利用了TCP协议实现上的一个缺陷。 这种攻击的特点是可以绕过普通的防火墙防护,可通过Proxy代理实施攻击,缺点是攻击静态页面的网站效果不佳,会暴露攻击者的lP地址。
5K30发布于 2020-09-25 - 来自专栏ops技术分享
攻击科普:ARP攻击
一.介绍 ARP攻击的局限性 ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行。 无法对外网(互联网、非本区域内的局域网)进行攻击。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击 ,将本应该发往电脑B的数据发送给了攻击者。 同样的,攻击者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给攻击者。 至此攻击者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。
2.9K30发布于 2021-05-26 - 来自专栏深度学习与python
MongoBleed 漏洞允许攻击者从 MongoDB 的堆内存中读取数据
根据披露,该漏洞可以被未认证的攻击者以较低的复杂度远程利用,可能导致敏感数据和凭证的外泄。 这个漏洞被称为 MongoBleed,以臭名昭著的 Heartbleed 命名,CVSS 得分为 8.7,由对 zlib 压缩网络流量处理不当触发,允许未经身份验证的攻击者泄露未初始化的内存,并可能从受影响的 通过发送畸形的压缩网络数据包,未经身份验证的攻击者可以触发服务器错误处理解压缩的消息长度,导致返回给客户端未初始化堆内存。 受影响的逻辑返回了分配的缓冲区大小(output.length()),而不是实际解压缩数据的长度,从而允许过小或畸形的有效载荷暴露相邻的堆内存。 预认证内存泄露、主动漏洞攻击和 87K+ 暴露实例——提醒我们,数据库安全就是基础设施安全。
18210编辑于 2026-01-22 - 来自专栏网络安全与可视化
虹科分享 | 移动目标防御 | 为什么要关心内存中的攻击?
如今的恶意软件越来越多地在内存中执行运行时攻击。根据微软的数据,微软产品中70%的漏洞是内存安全问题。PurpleSec发现,2022年,内存崩溃是最常见的零日攻击类型,占攻击的67.55%。 隐蔽而强大的应用程序运行时攻击为勒索软件部署和数据外泄奠定了基础。内存中的威胁无处不在作为无文件恶意软件的一项功能,完整的内存中攻击链在2010年代中期开始出现。 “他们发现,去年最流行的五种攻击方式中,有三种是在内存中发生的。”内存泄露现在是攻击链的典型特征,就像2021年爱尔兰国家医疗服务体系被入侵之前那样。 Windows和Linux应用程序都是目标在内存中,泄露不是一种单一类型的威胁。相反,这是导致广泛后果的攻击链的一个特征。例如,勒索软件不一定与内存运行时攻击相关联。 防止内存中运行时攻击内存中运行时攻击是一些最先进的破坏性攻击。他们不仅针对企业,现在还把整个政府都扣为人质。因此,防御者必须专注于在运行时阻止对应用程序内存的威胁。
86640编辑于 2022-11-17 - 来自专栏网站漏洞修补
如何防止网站被CC攻击 导致CPU内存耗尽的处理过程分享
检查服务器里的资源,发现服务器的内存被占满,CPU达到百分之100就连远程连接都越来越巨慢至极,因此开展对该网站被攻击的问题解决。 再一次怀疑公司的网站服务器或者是mysql网站数据库或dedecms源代码有毛病,也许是被黑客恶意攻击了。 网站运行环境,把dedecms和mysql备份文件也导入了进去,本地访问127.0.0.1打开后,网站都是正常可以打开的,浏览新闻以及图片也都是正常,很是怀疑mysql网站数据库的登陆密码被破解,导致被黑客利用攻击 此次运行内存果真很没问题,但是网页无法访问,发觉服务器里的dedecms配置文件里边的数据库登陆密码没有更改。改回来过后公司网站正常了,可一瞬间运行内存消耗殆尽,现象依然,网站又无法打开了。 我仅仅是记录一下解决问题的过程,希望能帮到更多遇到网站被攻击打不开的情况的朋友,根据我上面分析的,以及解决的思路来进行处理。
3.3K00发布于 2020-03-01 - 来自专栏FreeBuf
MOTS攻击之TCP攻击
概述 继续进行MOTS类型攻击方式的进展。 这里再次强调一下,MOTS 是指 Man-On-The-Side,是一种在旁路监听模式下的攻击方式;和 MITM 不同,MITM 是指 Man-In-The-Middle,是中间人攻击。 这种类型的攻击比中间人攻击相对隐秘,其正常情况下只是监听,需要攻击时才进行攻击,并且攻击时只需要发送少量报文,不会出现大流量。所以具有隐蔽、难以发现、攻击效果明显等特点。 ? 不了解的可以点击文末的阅读原文查看下面两篇文章: 《MOTS攻击技术分析》 《MOTS攻击之UDP攻击》 学习过TCP/IP的同学都应该了解,传输层有两种协协议:TCP和UDP,这两种协议本身的特点决定了其应用场景的不同 针对TCP的攻击这里主要介绍两种方式:DOS和劫持,其他类型的攻击,大家可以完善、补充。 2.
1.9K50发布于 2018-02-28 - 来自专栏Cyber Security
【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux
Windows实验 1、常规MSF后门-分析检测 2、权限维持后门-分析检测 3、Web程序内存马-分析检测 常见工具集合: https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg D "C:\shell.exe" #远程登陆该计算机 启动shell Linux实验 1、常规MSF后门-分析检测 2、Rootkit后门-分析检测 3、权限维持后门-分析检测 4、Web程序内存马 /installer.sh --layout default --install rkhunter -c Web层面:通用系统层面 1、常规后门 2、内存马(无文件马) PHP 进程马
49410编辑于 2024-07-18 - 来自专栏全栈程序员必看
CSRFXSRF攻击和XSS攻击
XSS攻击发生的条件是可以执行javascript脚本,一般在站点中总会有发表文章、留言等信息的表单,这种表单一般是写入到数据库中,然后在某个页面进行展示。 我们可以在这些表单中直接编写javascript代码(<script>alert("哈哈哈哈,你被攻击了!");</script>)进行测试,看是否可以执行。 如果在信息展示页面js代码可以执行,XSS攻击就成功了。 CSRF攻击能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于cookie中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。 可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求
1.1K20编辑于 2022-07-21 内存攻击(如Rowhammer)的缓解措施?腾讯云主机安全为你保驾护航!
在数字化时代,内存安全已成为网络安全的核心议题之一。近年来,一种名为Rowhammer的硬件级攻击手段频繁引发关注。这种攻击通过操纵内存芯片的物理特性,可能导致数据篡改、系统崩溃甚至权限提升。 一、Rowhammer攻击:内存的“隐形杀手”1. 攻击原理:电容耦合的蝴蝶效应Rowhammer攻击的核心在于DRAM电容的物理特性。 这种攻击无需软件漏洞即可实现,直接威胁内存数据的完整性。2. 攻击场景与危害权限提升:篡改内存中的权限校验数据,获取系统管理员权限。数据泄露:修改关键数据指针,诱导程序读取敏感信息。 软件与系统的防御策略内存访问随机化:操作系统通过随机化内存分配地址,增加攻击者预测目标行的难度。行为监控与告警:实时检测异常内存访问频率,如短时间内对同一内存页的数百次访问,触发安全警报。 例如,攻击者若尝试通过内存破坏执行木马,文件查杀模块可立即隔离并清除威胁。2. 实际应用场景金融行业:某银行部署腾讯云主机安全后,成功拦截针对核心交易系统内存的隐蔽攻击,避免潜在数据泄露。
30610编辑于 2025-10-17- 来自专栏全栈程序员必看
DOS攻击工具(dos攻击教程)
DoS(Denial Of Service)攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源, 目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃 然而随着网络上免费的可用DDoS工具增多,DoS攻击也日益增长,下面介绍几款Hacker常用的DoS攻击工具。 一般来说,该工具有三种攻击模式, 第一个被称为测试模式,是非常基本的; 第二个是正常的DOS攻击模式; 最后一个是带有HTTP / TCP / UDP / ICMP消息的DOS攻击模式。 这些是DDOSIM的主要特点: 模拟几个僵尸攻击 随机的IP地址 TCP-connection-based攻击 应用程序层DDOS攻击 HTTP DDos等有效的请求 与无效请求HTTP DDoS(类似于直流 您可以使用这个工具来检查您的web服务器能否够捍卫得住别人的DOS攻击。 当然,不仅对防御,它也可以用来执行DOS攻击哦。
7K31编辑于 2022-08-02 - 来自专栏服务器安全
DDOS攻击攻击种类和原理
DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧! 不过这3种攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。 SYN攻击是当前网络上最为常见DDos攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满 还是刚才的那个例子,你的机器每秒能发送10个攻击数据包,而被攻击的机器每秒能够接受100的数据包,这样你的攻击肯定不会起作用,而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话,那结果就可想而知了 同Smurf攻击一样,黑客所发送的请求包的源IP地址是被攻击主机的地址,这样受欺骗的主机就都会把回应发到被攻击主机处,造成被攻击主机忙于处理这些回应而瘫痪。 DDoS究竟如何攻击?
5.2K00发布于 2018-09-07 网络攻击原理与攻击方法
网络攻击原理 网络攻击由攻击者发起,使用一定的攻击工具,通过某种访问方式,达到一定的攻击效果,实现某种攻击意图。其基本原理包括: 利用漏洞:网络攻击往往依赖于目标系统、软件或网络通信中存在的漏洞。 网络攻击方法 以下是一些常见的网络攻击方法及其详细描述: 恶意软件攻击: 病毒:具有自我复制功能的恶意软件,可以通过感染其他文件或系统来扩散。 钓鱼攻击: 基本原理:攻击者伪装成合法实体或组织,引诱用户提供个人敏感信息,如账号密码、信用卡信息等。这种攻击形式广泛存在于日常的数字生活中,通常通过电子邮件、社交媒体信息或虚假网站等渠道展开。 跨站脚本攻击(XSS): 基本原理:攻击者利用Web程序对用户输入检查不足的漏洞,将可执行恶意脚本注入网站或Web应用。 攻击者需要使用钓鱼邮件、弹窗链接以及其他社会工程学方法引诱用户点击链接向Web服务器发出请求。 存储型XSS:注入的脚本永久存储在Web服务器上,如数据库、内存或文件系统中。
30610编辑于 2026-02-03- 来自专栏全栈程序员必看
dos攻击防范措施_dos攻击和ddos攻击的区别
DoS是一种利用单台计算机的攻击方式。 DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。 所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?预防为主保证安全DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。 (2)在骨干节点配置防火墙 防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。 特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
1.6K50编辑于 2022-11-10 - 来自专栏亦言本人
如何判断cc攻击 防cc攻击
首先如何判断cc攻击 cc攻击是通过大量的代理ip进行访问网站,从而达到网站服务器无法负荷最终瘫痪的过程。 并且这种攻击是会消耗大量的流量,从而造成站长亏钱,要想判断cc攻击,其实非常简单,如果发现网站在短时间内cup直线上升,而且网站打开变慢甚至502错误,那可能是遭受cc攻击了 如何防cc攻击呢? 宝塔用户可以在宝塔后台安装防火墙进行拦截,但是据我所知,宝塔防火墙应该是最鸡肋的防火墙,并且没有kangle面板的cc策略强,我曾经测试过,同一台机子,安装宝塔和kangle进行cc攻击测量,宝塔最先扛不住 ,然后再是kangle,所以我推荐使用kangle面板进行建站并进行cc防护 然后可以使用一些网站的高防cdn也能达到效果,但是没有绝对的防御,只要cc攻击足够强,任何防御都抵挡不了,所以,建议购买高防机子
5.1K10发布于 2021-11-12 - 来自专栏全栈程序员必看
什么是udp攻击_udp攻击原理
什么是UDP攻击? 完整的说应该是UDP淹没攻击 (UDP Flood Attack) UDP 淹没攻击是导致基于主机的服务拒绝攻击的一知种。 当攻击者随机地向受害系统的端口发送 UDP 数据包的时候,就可能发生了 UDP 淹没攻击。当受害系统接收到一个 UDP 数据包的时候,它会确定目的道端口正在等待中的应用程序。 UDP 淹没攻击的防范 在网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻 UDP 淹没攻击。此外,在用户的网络中还应采取如专下的措施: 禁用或过滤监控和响应服务。
1.8K20编辑于 2022-11-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号