爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

蜜罐项目-端口流量转发（透传ip）方案调研

# 蜜罐项目端口流量转发(透传IP)方案调研与实践指南 ## 0x00 前言在蜜罐部署方案中，常遇到需要在多个节点监听端口并将流量转发到中央蜜罐的需求，同时要求蜜罐能记录原始攻击者IP。本文详细调研了多种端口流量转发方案，重点测试了IP透传能力，为蜜罐轻量级部署提供技术参考。 ## 0x01 端口流量转发方案详解 ### 1.1 rinetd方案 **基本特性**： - 轻量级TCP端口转发工具 - 无法透传原始IP（蜜罐只能看到转发节点的IP） **部署方法**： ```bash

2025-08-22 15:48:06

一次内网挖矿病毒的应急响应

# 内网挖矿病毒应急响应与处置指南 ## 一、事件背景与概述某企业内网服务器出现CPU持续高负载告警，经排查发现为挖矿病毒入侵并已在内网扩散。攻击者通过SSH弱口令爆破获取初始访问权限，随后在内网横向移动，部署挖矿程序（XMRig变种）。病毒特征包括： - 高CPU占用（达4000%） - 隐藏于非常规目录（/mnt/.bash、/mnt/.cache、/tmp/.bash） - 通过定时任务持久化 - 自动清除高CPU进程为挖矿腾出资源 ## 二、攻击特征分析 ### 1. 病毒行为

2025-08-22 15:46:42

58集团白盒代码审计系统建设实践1：技术选型

# 58集团白盒代码审计系统建设实践：技术选型与实现 ## 1. 背景与概述源代码安全检测是安全开发流程(SDL)中至关重要的一环。在58集团的CI/CD流程中，每天有数千次量级的构建及发布，白盒检测的自动化能力显得极为重要。企业级的白盒代码审计系统不仅需要满足漏洞发现的需求，还需要适应企业CI/CD流程。静态代码分析(SAST)是指在不实际执行程序的情况下，对代码语义和行为进行分析，找出程序中由于错误编码导致的异常程序语义或未定义行为。SAST技术通常在编程和/或测试软件生命周期(S

2025-08-22 15:45:20

Hvv前排查分析

# HVV前排查分析教学文档 ## Windows系统排查分析 ### 1. 开机启动项检查 **检查方法：** 1. 启动菜单路径： ``` C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ``` 2. 系统配置命令： ``` msconfig ``` 3. 注册表路径： ``` HKEY_CURRENT_USER\Software\M

2025-08-22 15:33:52

58集团白盒代码审计系统建设实践2：深入理解SAST

# SAST静态应用安全测试与CodeQL实践详解 ## 一、SAST技术基础 ### 1.1 SAST核心概念 SAST(Static Application Security Testing)即静态应用安全测试，是一种通过分析源代码来发现安全漏洞的技术。其核心特点包括： - **白盒测试**：直接分析源代码 - **静态分析**：无需运行程序 - **早期检测**：可在开发阶段发现问题 ### 1.2 SAST工作原理 SAST的完整工作流程包含以下关键步骤： 1. **中间代码

2025-08-22 15:32:59

挖矿木马分析之肉鸡竟是我自己

# 挖矿木马分析与清除实战指南 ## 一、挖矿木马概述本案例分析的是一种名为WachtdogsMiner的挖矿蠕虫变种，伪装成`kswapd0`进程利用CPU挖取门罗币(XMR)。该木马具有以下特征： 1. 通过弱口令爆破入侵服务器 2. 伪装成系统进程(如kswapd0)隐藏自身 3. 具有自保护机制，会杀死其他挖矿进程独占资源 4. 通过cron定时任务实现持久化 5. 会添加SSH密钥实现后门访问 6. 针对不同CPU架构(Intel/AMD)进行优化 ## 二、感染迹象检测

2025-08-22 15:31:59

SOCasS(把SOC当作一种服务)的架构部署和技术漫谈-上

# SOCaaS（安全运营中心即服务）架构部署与技术实现 ## 1. SOCaaS概述 ### 1.1 基本概念 SOCaaS（Security Operation Center as a Service）是一种将安全运营中心功能外包给第三方服务提供商的安全运营模式。它使资源有限的企业能够： - 无需自建完整安全团队 - 利用第三方技术和工具构建适配企业的SOC - 以更低成本、更高效率实现安全运营 ### 1.2 与传统SOC的区别 | 特性 | 传统SOC | SOCaaS | |--

2025-08-22 15:30:35

SOCasS(把SOC当作一种服务)的架构部署和技术漫谈-下

# SOCaaS架构部署与技术实现详解 ## 1. Wazuh整合 ### 1.1 Wazuh概述 Wazuh是一个免费开源的企业级安全监控解决方案，用于威胁检测、完整性监控、事件响应及合规性。 **核心组件**： - Wazuh服务端：运行Wazuh manager、API和Filebeat，收集和分析来自agent的数据 - Wazuh agent：在被监控主机上运行，收集系统日志和配置数据，检测入侵和异常情况 ### 1.2 Wazuh安装与配置 #### 1.2.1 Wazuh

2025-08-22 15:28:55

linux常见backdoor及排查技术

# Linux常见后门技术及排查方法 ## 一、后门技术概述 Linux系统后门技术主要分为以下几类： 1. 用户账户类后门 2. SSH相关后门 3. 计划任务后门 4. 启动项后门 5. 程序劫持类后门 6. 进程隐藏技术 7. 内核级Rootkit ## 二、具体后门技术及排查方法 ### 1. 添加root权限后门用户 **技术实现**： - 修改`/etc/passwd`文件，添加UID为0的用户 - 密码可直接使用加密后的密文 ```bash # 生成加密密码 perl

2025-08-22 15:27:20

SAST(静态应用程序安全测试&代码审计)方案调研

# 静态应用程序安全测试(SAST)方案调研与教学文档 ## 1. SAST基础概念 ### 1.1 SAST简介 SAST(Static Application Security Testing)即静态应用程序安全测试技术，是一种在编码阶段分析应用程序源代码或二进制文件的技术。它通过分析代码的语法、结构、过程、接口等来发现潜在的安全漏洞。 ### 1.2 SAST技术发展阶段 SAST技术经历了以下几个发展阶段： | 技术发展阶段 | 代表工具 | 优点 | 缺点 | |-----

2025-08-22 15:26:07

如何避免文件上报-制作大文件

# 如何制作大文件以绕过安全检测 - 技术指南 ## 背景与目的在安全攻防场景中，有时需要制作大体积文件来： - 绕过HIDS agent的文件上报机制（大文件可能不被上传） - 增加安全研究人员分析样本的难度（下载和分析大文件困难） - 测试系统对大文件处理的能力 ## 环境准备测试环境使用`id`命令的ELF文件作为示例： ```bash \cp /usr/bin/id /tmp/y ``` ## 方法一：文件末尾追加数据 ### 实现方式 ```bash echo 1111

2025-08-22 15:24:06

Serverless扫描技术研究及应用

# Serverless扫描技术研究及应用 ## 1. 技术概述 Serverless扫描技术是一种利用云函数(Serverless)服务实现隐匿扫描的技术，通过云函数作为代理进行扫描活动，具有以下特点： - 绕过态势感知、WAF等安全设备 - 增大蓝队研判人员溯源难度 - 实现"封无可封，查无可查"的效果 - 利用云服务商的IP资源，增加扫描的隐匿性 ## 2. 实现原理 ### 2.1 核心思想 - 云函数仅实现单次扫描功能 - 本地控制代码负责整体扫描逻辑 - 通过API网关触发云

2025-08-22 15:23:26

跳转到页