4 NFMSR

尚未进行身份认证

小白!!

等级
TA的排名 4w+

Linux 内存取证之文件系统取证(Volatility取证)

File Systems 知识点 USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件 Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件 ext3/4,Linux系统中最常见的文件系统格式 sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。 proc...

2018-08-10 14:43:59

linux内存取证之内核信息取证(Volatility取证)

Linux kernel 内存分析: Volatility Linux_iomem 插件:查看内存区域的地址范围 验证LIME获取区域是否完整,两个工具结果比较:Volatility limeInfo和Volatility linux_iomem | grep "System RAM",如果System RAM 缺失的话,暗示这工具设计的不符合,操作不准确 虚拟地址映射:32位系统, 用...

2018-08-10 14:42:16

Linux内存取证之网络信息取证(Volatility 取证)

Linux Bash history 分析: 对抗Bash history分析的方法: HISTFILE变量在 ~./bashrc 中 Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null 设置 HISTSIZE变量=0 利用SSH 登陆时 加上-T参数 Li...

2018-08-10 14:40:03

Linux 内存取证 之进程空间取证(Volatility取证)

进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行)grepUID/etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat/proc/<pid>/maps...

2018-08-10 14:36:42

Linux 内存取证之常识问题

/dev/mem 文件只能存放896M RAM数据 Fmem和LIME 获取物理内存的差距 Fmem 创建一个字符驱动在用户区域,才可以有访问内存权限 Fmem优点是可以获取到超过896M的内存数据 Fmem缺点是需要调查员检查/proc/iomem 去确定哪些RAM被映射了。 LIME 直接加载一个内核驱动,所有的操作都在内核完成,不需要在用户区域和内核区域交换...

2018-08-10 14:34:38

Linux之sed编辑器用法

sed 编辑器定义​ sed编辑器被称作流编辑器(stream editor),流编辑器会在编辑器处理数据之前基于 预先提供的一组规则来编辑数据流。​ sed 编辑器可以根据命令来处理数据流的数据,这些命令要么从命令行输入,要么存储在一个命令文本文件。sed编辑器操作一次从输入中读取一行数据根据所提供的编辑器命令匹配数据按照命令修改流中的数据将新的数据输...

2018-07-27 13:29:30

Linux系统结构

Linux介绍Linux可划分为四部分:Linux内核:内核控制着计算机系统上的所有硬件和软件,在必要时分配硬件,并根据需要执行软件。Linux内核主要负责以下四种功能:系统内存管理:管理物理内存和管理虚拟内存,内核通过硬盘上的存储空间来实现虚拟内存,这块区域叫做交换空间(swap space)软件程序管理:内核创建的第一个进程(称为init进程)来启动系统上的其他进程,当内核启动...

2018-07-27 13:27:16

linux取证之可疑程序分析

linux平台下可疑程序分析对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。检查恶意程序的准则:建立环境基准VMware建立模拟环境分析之前,首先保留受害系统在可疑代码运行前的快照同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。Open Source Tripwire工具:用于监控数据完整性以及在...

2018-07-27 13:25:41

Linux 目录各文件夹含义

Linux 目录标准linux 目录配置标准: FHS。 FHS: Filesystem Hierarchy Standard. 建立这个标准的主要目的是希望让用户可以了解到已安装软件通常放置于那个目录下,所以希望独立的软件开发商、操作系统制作者以及想要维护系统的用户,都能够遵循 FHS 标准。各目录含义根目录(/) 根目录是整个 linux 系统最重要的一个目录,所有的目录都是由...

2018-07-23 10:56:08

linux取证之可疑文件初步分析

文件识别和构型—— 可疑文件的初步分析文件构型流程收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性 操作系统,版本,内核版本,补丁级别文件系统,可疑文件被发现时的完整路径防火墙,安全软件文件信息:文件属性,大小,数据和时间:ls -al计算hash值:对可疑文件生成一个加密hash值或者“数字指纹” Lin...

2018-07-19 17:42:43

Linux取证之事后取证

事后取证:从Linux系统中搜索并提取恶意软件以及相关线索1.从Linux系统中发现和提取恶意软件前提: 熟悉Linux工作原理ext2和ext3文件系统取证检查: 检查文件的hash值和已知恶意软件特征是 否匹配检查加壳文件检查用户账号检查其他配置信息检查日志记录搜索已知恶意软件方法: 哈希比较技术: NSRL等hash数据库Rookit Hunter 和 ...

2018-07-19 17:41:22

linux取证之内存取证

内存取证内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。传统方法:可读的文本和关键字搜索工具:Volatility方法学(内存取证的目的):搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析对于每个可疑的进程,如果...

2018-07-19 17:40:31

Linux 环境下取证

linux环境下取证易失性数据 特点: Linux自带命令可被恶意代码修改不可信 Unix系统存在一个脚本程序用于记录系统命令的运行及输出结果,只不过在命令终止后,才输出记录结果,除非脚本加上-f选项,可以在命令运行时进行刷新,减少取证过程中因故障带来的数据损失。 方法: 在目标机器上运行使用静态编译方式生成的shell命令(如Heli...

2018-07-17 16:45:05

Windows环境下的易失性数据取证

易失性数据取证定义:开机状态下,一个目标系统包含能够反映系统状态的关键而短暂的信息。范围: 恶意进程的内存空间,口令,IP地址,安全事件日志条目。概念:事件响应取证,实时响应取证总体思想:建立实时响应工具包确定和记录工具的依赖性:将工具装载到像Dependency Walker或者PEView之中工具标注:修改文件名,用十六进制编辑器将文字加入到文件头领域,这样不会影响工具的使用。同时对每个工具的...

2018-07-13 17:21:52

java 深度理解之上转型,多态

重载方法必须满足以下条件:◦ 方法名相同。◦ 方法的参数类型、 个数、 顺序至少有一项不相同。◦ 方法的返回类型可以不相同。◦ 方法的修饰符可以不相同。注意:只要参数类型,个数,顺序有一个不同就是重载,别的可以相同,也可以不同。注意:java方法名和变量名是区分大小写的,大小写不同是不同的变量。举例:以下Sample类中已经定义了一个amethod()方法:pu

2018-01-04 20:50:39

java实现算法之MajorityElement

Majority ElementDescription:Given an array of size n, find the majority element. The majority element is the element that appears more than ⌊ n/2 ⌋ times.You may assume that the array

2017-11-26 20:31:38

深入理解java垃圾回收机制

深入理解java垃圾回收机制一、垃圾回收机制的意义Java语言中一个显著的特点就是引入了垃圾回收机制,使c++程序员最头疼的内存管理的问题迎刃而解,它使得Java程序员在编写程序的时候不再需要考虑内存管理。由于有个垃圾回收机制,Java中的对象不再有“作用域”的概念,只有对象的引用才有“作用域”。垃圾回收可以有效的防止内存泄露,有效的使用空闲的内存。ps: 内存泄露是指该内存空间使用完

2017-11-24 22:39:52

Ubuntu17.04下安装OpenCV3.2.0

Ubuntu17.04下安装OpenCV3.2.0安装官方给出的依赖包1. sudo apt-get install build-essential2. sudo apt-get install cmake git libgtk2.0-dev pkg-config libavcodec-dev libavformat-dev libswscale-dev3. sudo apt-ge

2017-11-24 18:23:26

机器学习理论篇之激活函数优劣比较

激活函数的作用:将一个很大范围的实数,映射到一个很小的范围之内。为什么要用激活函数:激活函数的比较:Sigmod函数:公式:图像:优劣:Sigmoid 非线性激活函数,sigmoid函数输入一个实值的数,然后将其压缩到0~1的范围内。特别地,大的负数被映射成0,大的正数被映射成1。而现在sigmoid已经不怎么常用了,主要是因为它有两个缺点:

2017-11-21 19:40:40

机器学习理论篇之NormalEquation推导过程

NormalEquation是一种基础的最小二乘方法,本文将从线性代数的角度来分析NormalEquation(而不是从矩阵求导matrixderivative的角度)。很多作者(特别是智商比较高的)在推导公式的时候有意无意的忽略了思考过程,只留下漂亮的步骤。这让很多读者(比如说我)跟不上节奏,最后一头雾水。本文将从求解“貌似无解”的方程组入手,再讲讲投影(Projection)的使

2017-11-19 21:18:21

查看更多

勋章 我的勋章
    暂无奖章