爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

应急响应初探之入侵排查

# Windows与Linux系统入侵排查全面指南 ## 一、Windows系统入侵排查 ### 1. 账号安全检查 #### 1.1 检查可疑账号 - 使用命令 `lusrmgr.msc` 查看用户管理界面 - 重点关注管理员组(Administrators)中的新增用户 - 使用 `net user` 命令查看用户列表 #### 1.2 检查隐藏/克隆账号 - **创建隐藏账号**: ``` net user test$ abc123! /add net localgro

2025-08-22 04:11:54

企业蜜罐建设实践

# 企业蜜罐建设实践 - 详细教学文档 ## 1. 蜜罐概述 ### 1.1 蜜罐定义蜜罐(Honeypot)是一个专门为攻击者量身定制且包含大量漏洞的系统，目的是通过部署酷似真实的系统来诱导攻击者实施攻击，通过安全设备或日志记录分析还原攻击路径和攻击载荷。 ### 1.2 蜜罐作用 1. **诱导攻击**：耗费攻击者时间精力，减少对实际系统的威胁 2. **信息收集**：收集攻击者的入侵途径和载荷，有助于反向定位溯源 ## 2. 蜜罐分类 ### 2.1 按交互程度分类 | 类型

2025-08-22 04:10:37

云安全当中的云抢注问题

# 云抢注攻击：原理、案例与防御方案 ## 0X00 前言随着云计算时代的到来，虚拟服务器和存储空间等资源通常通过部署脚本进行配置。这些资源虽然可以随时启用，但在不再需要时却难以彻底删除。如果仅删除云资源而未清除所有指向配置的记录（包括配置文件和程序代码），就会为攻击者留下可利用的"后门"。 ## 0X01 云抢注攻击介绍 ### 基本概念云抢注攻击(Cloud Squatting)是指删除不需要的云资源但不删除指向它们的记录，使得攻击者能够利用这些残留记录接管您的子域名或其他云资

2025-08-22 04:09:22

【远控类取证】本地提取连接日志分析

# 远控软件连接日志取证分析技术详解 ## 一、远控软件日志取证概述远程控制软件的连接日志是数字取证中的重要证据来源，能够记录连接双方的IP地址、连接时间、操作行为等信息。本文以向日葵、ToDesk和TeamViewer为例，详细讲解如何从本地提取和分析这些远控软件的连接日志。 ## 二、向日葵日志取证分析 ### 1. 日志文件位置向日葵日志默认保存在以下路径： ``` C:\Program Files\Oray\SunLogin\SunloginClient\log ```

2025-08-22 04:08:50

数据安全与边界安全检查实例

# 数据安全与边界安全检查实施指南 ## 一、概念介绍 ### 数据安全数据安全是指通过采取必要措施，确保网络数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。核心要素包括： - 数据完整性：防止数据被篡改 - 数据保密性：防止数据被非法获取 - 数据可用性：确保数据可被授权用户访问 ### 边界安全边界安全主要作用于真实存在的物理边界上，包括以下防护设备和系统： - 防火墙 - 杀毒软件 - IDS（入侵检测系统） - IPS（入侵防御系统） - DLP（数据泄露防护

2025-08-22 04:07:52

运营视角下钓鱼邮件的处理和预防

# 钓鱼邮件的处理与预防：运营视角下的全面指南 ## 1. 钓鱼邮件概述 ### 1.1 定义与危害钓鱼邮件是一种网络攻击手段，攻击者通过伪装成合法、可信的电子邮件欺骗企业人员，以获取敏感信息或进行其他恶意活动。钓鱼邮件通常会： - 伪装成来自可信来源 - 引诱目标点击恶意链接 - 诱导下载恶意附件 - 骗取隐私信息钓鱼邮件武器化后引发的威胁包括： - 网络钓鱼 - 商业电子邮件泄露(BEC) - 恶意软件传播 - 勒索软件攻击 ### 1.2 企业面临的挑战企业安全运营面临

2025-08-22 04:07:20

揭密某黑产组织新型免杀攻击样本

# 新型免杀攻击样本分析与防御教学文档 ## 1. 概述本教学文档基于某黑产组织使用的新型免杀攻击样本进行分析，详细剖析其攻击流程、技术特点及防御策略。该样本在VT(VirusTotal)上的检出率较低，采用了多层嵌套的免杀技术，最终载荷为Gh0st木马变种。 ## 2. 攻击流程分析 ### 2.1 初始攻击载体 - **文件类型**：伪装成CHM(已编译的HTML帮助文件) - **诱导方式**：用户双击后会弹出提示对话框，诱导用户执行脚本 ### 2.2 脚本执行阶段 1. 静

2025-08-22 04:06:15

黑客组织利用SocGholish框架发动新一轮攻击活动

# SocGholish框架攻击活动分析报告 ## 1. 概述 SocGholish是一种自2020年开始活跃的攻击框架，主要通过模拟浏览器更新、Flash Player更新等网站进行传播。攻击者利用钓鱼、水坑攻击和社会工程技术诱骗受害者下载并执行恶意脚本，最终部署各种恶意软件。 ## 2. 攻击流程分析 ### 2.1 初始感染阶段 1. **虚假更新网站**： - 攻击者创建模仿Chrome、FireFox等浏览器更新的虚假网站 - 网站内嵌恶意JavaScript脚本

2025-08-22 03:55:27

隐藏在暗网深处的钓鱼攻击活动

# 暗网钓鱼攻击活动技术分析报告 ## 1. 攻击概述本报告分析了一起隐藏在暗网深处的钓鱼攻击活动，攻击者通过伪装成0day漏洞POC的方式传播恶意软件，在反溯源、流量隐藏和行为隐藏方面采取了多项技术手段。 ## 2. 攻击流程分析 ### 2.1 初始感染阶段 1. **诱饵分发**：攻击者在技术社区发布伪装成0day漏洞POC的压缩包 2. **文件结构**：解压后包含一个名为`poc.py`的Python脚本 3. **平台检测**：恶意代码会判断操作系统类型(Windows/

2025-08-22 03:54:56

针对3CX供应链攻击样本的深度分析

# 3CX供应链攻击样本深度分析教学文档 ## 1. 事件概述 3CX企业级电话管理系统遭遇供应链攻击，影响范围： - 全球190+国家 - 超过60万安装量 - 1200万用户 - 受影响版本： - Windows: 18.12.407 和 18.12.416 - Mac: 18.11.1213、18.12.402、18.12.407 和 18.12.416 ## 2. 攻击流程图 ``` [供应链入侵] → [恶意代码植入] → [软件更新分发] → [用户安装] → [恶意

2025-08-22 03:54:18

入侵检测之流量分析--识别常见恶意行为

# 入侵检测之流量分析：识别常见恶意行为 ## 前言流量分析是入侵检测的核心技术之一，通过分析网络流量数据包来识别恶意行为。本文基于生产环境经验，系统性地介绍流量分析的基础知识和常见恶意行为的识别方法。 ## 流量分析的特点 1. **协议熟悉度**：熟悉网络架构、协议及字段信息是关键 2. **自动化思维**：海量流量需要自动化分析工具和统计分析 3. **异常行为识别**：通过区分正常和非正常业务行为发现可疑活动 4. **威胁情报依赖**：重度依赖恶意IP、域名、文件HASH、J

2025-08-22 03:53:33

入侵检测之流量分析--SURICATA应用及规则来源梳理

抱歉，无法读取该文件。请更新其他文件，我可以为你进行总结。

2025-08-22 03:52:54

跳转到页