- 博客(83)
- 收藏
- 关注
RSS订阅原创 Linux 内存取证之文件系统取证(Volatility取证)
File Systems 知识点 USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件 Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件 ext3/4,Linux系统中最常见的文件系统格式 sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。 proc...
2018-08-10 14:43:59
3019
2
原创 linux内存取证之内核信息取证(Volatility取证)
Linux kernel 内存分析: Volatility Linux_iomem 插件:查看内存区域的地址范围 验证LIME获取区域是否完整,两个工具结果比较:Volatility limeInfo和Volatility linux_iomem | grep "System RAM",如果System RAM 缺失的话,暗示这工具设计的不符合,操作不准确 虚拟地址映射:32位系统, 用...
2018-08-10 14:42:16
1081
原创 Linux内存取证之网络信息取证(Volatility 取证)
Linux Bash history 分析: 对抗Bash history分析的方法: HISTFILE变量在 ~./bashrc 中 Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null 设置 HISTSIZE变量=0 利用SSH 登陆时 加上-T参数 Li...
2018-08-10 14:40:03
1499
原创 Linux 内存取证 之进程空间取证(Volatility取证)
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/<pid>/maps...
2018-08-10 14:36:42
2888
原创 Linux 内存取证之常识问题
/dev/mem 文件只能存放896M RAM数据 Fmem和LIME 获取物理内存的差距 Fmem 创建一个字符驱动在用户区域,才可以有访问内存权限 Fmem优点是可以获取到超过896M的内存数据 Fmem缺点是需要调查员检查/proc/iomem 去确定哪些RAM被映射了。 LIME 直接加载一个内核驱动,所有的操作都在内核完成,不需要在用户区域和内核区域交换...
2018-08-10 14:34:38
698
原创 Linux之sed编辑器用法
sed 编辑器定义 sed编辑器被称作流编辑器(stream editor),流编辑器会在编辑器处理数据之前基于 预先提供的一组规则来编辑数据流。 sed 编辑器可以根据命令来处理数据流的数据,这些命令要么从命令行输入,要么存储在一个命令文本文件。sed编辑器操作一次从输入中读取一行数据根据所提供的编辑器命令匹配数据按照命令修改流中的数据将新的数据输...
2018-07-27 13:29:30
298
原创 Linux系统结构
Linux介绍Linux可划分为四部分:Linux内核:内核控制着计算机系统上的所有硬件和软件,在必要时分配硬件,并根据需要执行软件。Linux内核主要负责以下四种功能:系统内存管理:管理物理内存和管理虚拟内存,内核通过硬盘上的存储空间来实现虚拟内存,这块区域叫做交换空间(swap space)软件程序管理:内核创建的第一个进程(称为init进程)来启动系统上的其他进程,当内核启动...
2018-07-27 13:27:16
294
原创 linux取证之可疑程序分析
linux平台下可疑程序分析对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。检查恶意程序的准则:建立环境基准VMware建立模拟环境分析之前,首先保留受害系统在可疑代码运行前的快照同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。Open Source Tripwire工具:用于监控数据完整性以及在...
2018-07-27 13:25:41
1457
原创 Linux 目录各文件夹含义
Linux 目录标准linux 目录配置标准: FHS。 FHS: Filesystem Hierarchy Standard. 建立这个标准的主要目的是希望让用户可以了解到已安装软件通常放置于那个目录下,所以希望独立的软件开发商、操作系统制作者以及想要维护系统的用户,都能够遵循 FHS 标准。各目录含义根目录(/) 根目录是整个 linux 系统最重要的一个目录,所有的目录都是由...
2018-07-23 10:56:08
645
原创 linux取证之可疑文件初步分析
文件识别和构型—— 可疑文件的初步分析文件构型流程收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性 操作系统,版本,内核版本,补丁级别文件系统,可疑文件被发现时的完整路径防火墙,安全软件文件信息:文件属性,大小,数据和时间:ls -al计算hash值:对可疑文件生成一个加密hash值或者“数字指纹” Lin...
2018-07-19 17:42:43
1334
原创 Linux取证之事后取证
事后取证:从Linux系统中搜索并提取恶意软件以及相关线索1.从Linux系统中发现和提取恶意软件前提: 熟悉Linux工作原理ext2和ext3文件系统取证检查: 检查文件的hash值和已知恶意软件特征是 否匹配检查加壳文件检查用户账号检查其他配置信息检查日志记录搜索已知恶意软件方法: 哈希比较技术: NSRL等hash数据库Rookit Hunter 和 ...
2018-07-19 17:41:22
1192
原创 linux取证之内存取证
内存取证内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。传统方法: 可读的文本和关键字搜索工具: Volatility方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析对于每个可疑的进程,如果...
2018-07-19 17:40:31
2761
原创 Linux 环境下取证
linux环境下取证易失性数据 特点: Linux自带命令可被恶意代码修改不可信 Unix系统存在一个脚本程序用于记录系统命令的运行及输出结果,只不过在命令终止后,才输出记录结果,除非脚本加上-f选项,可以在命令运行时进行刷新,减少取证过程中因故障带来的数据损失。 方法: 在目标机器上运行使用静态编译方式生成的shell命令(如Heli...
2018-07-17 16:45:05
1534
原创 Windows环境下的易失性数据取证
易失性数据取证定义:开机状态下,一个目标系统包含能够反映系统状态的关键而短暂的信息。范围: 恶意进程的内存空间,口令,IP地址,安全事件日志条目。概念:事件响应取证,实时响应取证总体思想:建立实时响应工具包确定和记录工具的依赖性:将工具装载到像Dependency Walker或者PEView之中工具标注:修改文件名,用十六进制编辑器将文字加入到文件头领域,这样不会影响工具的使用。同时对每个工具的...
2018-07-13 17:21:52
2638
原创 java 深度理解之上转型,多态
重载方法必须满足以下条件:◦ 方法名相同。◦ 方法的参数类型、 个数、 顺序至少有一项不相同。◦ 方法的返回类型可以不相同。◦ 方法的修饰符可以不相同。注意:只要参数类型,个数,顺序有一个不同就是重载,别的可以相同,也可以不同。注意:java方法名和变量名是区分大小写的,大小写不同是不同的变量。举例:以下Sample类中已经定义了一个amethod()方法:pu
2018-01-04 20:50:39
373
原创 java实现算法之MajorityElement
Majority ElementDescription:Given an array of size n, find the majority element. The majority element is the element that appears more than ⌊ n/2 ⌋ times.You may assume that the array
2017-11-26 20:31:38
523
原创 深入理解java垃圾回收机制
深入理解java垃圾回收机制一、垃圾回收机制的意义Java语言中一个显著的特点就是引入了垃圾回收机制,使c++程序员最头疼的内存管理的问题迎刃而解,它使得Java程序员在编写程序的时候不再需要考虑内存管理。由于有个垃圾回收机制,Java中的对象不再有“作用域”的概念,只有对象的引用才有“作用域”。垃圾回收可以有效的防止内存泄露,有效的使用空闲的内存。ps: 内存泄露是指该内存空间使用完
2017-11-24 22:39:52
442
原创 Ubuntu17.04下安装OpenCV3.2.0
Ubuntu17.04下安装OpenCV3.2.0安装官方给出的依赖包1. sudo apt-get install build-essential2. sudo apt-get install cmake git libgtk2.0-dev pkg-config libavcodec-dev libavformat-dev libswscale-dev3. sudo apt-ge
2017-11-24 18:23:26
1942
原创 机器学习理论篇之激活函数优劣比较
激活函数的作用:将一个很大范围的实数,映射到一个很小的范围之内。为什么要用激活函数:激活函数的比较:Sigmod函数:公式:图像:优劣:Sigmoid 非线性激活函数,sigmoid函数输入一个实值的数,然后将其压缩到0~1的范围内。特别地,大的负数被映射成0,大的正数被映射成1。而现在sigmoid已经不怎么常用了,主要是因为它有两个缺点:
2017-11-21 19:40:40
3779
转载 机器学习理论篇之NormalEquation推导过程
Normal Equation是一种基础的最小二乘方法,本文将从线性代数的角度来分析Normal Equation(而不是从矩阵求导 matrix derivative 的角度)。很多作者(特别是智商比较高的)在推导公式的时候有意无意的忽略了思考过程,只留下漂亮的步骤。这让很多读者(比如说我)跟不上节奏,最后一头雾水。本文将从求解“貌似无解”的方程组入手,再讲讲投影(Projection)的使
2017-11-19 21:18:21
10203
1
原创 Java实现算法之Brackets Sequence问题
Problem:DescriptionLet us define a regular brackets sequence in the following way:1. Empty sequence is a regular sequence.2. If S is a regular sequence, then (S) and [S] are both regular s
2017-11-17 23:01:03
401
原创 机器学习之循环神经网络(RNN)入门
一、循环神经网络1. 主要用途:处理和预测序列数据。2. 区别:全连接神经网络和卷积神经网络,都是从输入层到隐含层再到输出层,层与层之间是全连接或者部分连接,但是每层之间的节点是无连接的。而循环神经网络的隐藏层之间的结点是有连接的,隐藏层的输入不仅包括输入层的输出,还包括上一时刻隐藏层的输出。循环神经网络会记忆之前信息,并利用之前的信息影响后面结点的输出。3. 结构: 4. 前
2017-11-17 22:16:05
2480
原创 python读取视频流提取视频帧的方法
方法一:通过imageio库和skimage库1. 安装环境:pip install imageiopip install skimage这时候会报错Please install the `scikit-image` package (instead of `skimage`)所以按照提示操作即可:pip install scikit-image环境安装成功。2.通
2017-11-17 13:12:47
44690
15
原创 机器学习理论篇之CNN 卷积神经网络
CNN 卷积神经网络一.定义卷积神经网络(ConvolutionalNeural Network,CNN)是一种前馈神经网络,对于大型图像处理有出色表现。[1]它包括卷积层(convolutionallayer)和池化层(poolinglayer)。由于该网络避免了对图像的复杂前期预处理,可以直接输入原始图像,因而得到了更为广泛的应用。CNN的基本结构包括两层,其一为特征提
2017-11-15 21:43:22
1990
1
转载 从最大似然到EM算法浅解
从最大似然到EM算法浅解[email protected]://blog.csdn.net/zouxy09 机器学习十大算法之一:EM算法。能评得上十大之一,让人听起来觉得挺NB的。什么是NB啊,我们一般说某个人很NB,是因为他能解决一些别人解决不了的问题。神为什么是神,因为神能做很多人做不了的事。那么EM算法能解决什么问题呢?或者说EM算法是因为什么而来到这个世界
2017-11-14 19:51:25
354
转载 Java 中Synchronized 与 ReentrantLock 区别与联系
一、synchronized关键字1.synchronized简介synchronized实现同步的基础:Java中每个对象都可以作为锁。当线程试图访问同步代码时,必须先获得对象锁,退出或抛出异常时必须释放锁。Synchronzied实现同步的表现形式分为:代码块同步和方法同步。2.synchronized原理JVM基于进入和退出Monitor对象来实现代码块同步和方法同步,两者实现细节不
2017-11-12 16:01:13
814
原创 Java实现算法之最大公共子序列
题目:一个字符串A的子序列被定义成从A中顺次选出若干个字符构成的序列。如A=“cdaad" ,顺次选1,3,5个字符就构成子序列" cad" ,现给定两个字符串,求它们的最长公共子序列。输入格式:第一行两个字符串用空格分开。输出格式:最长序列的长度。两个串的长度均小于2000样例输入abccd aecd样例输出3思路:
2017-11-12 14:51:31
686
原创 Ubuntu17.04 环境下装WPS
1.前往WPS官网(http://linux.wps.cn/)下载Ubuntu版本的deb包。WPS安装包:http://kdl.cc.ksosoft.com/wps-community/download/a21/wps-office_10.1.0.5672~a21_amd64.deb 2.直接通过命令:sudo dpkg -i wps-office_10.1.0.5672~a
2017-11-08 18:25:38
705
原创 机器学习理论篇之SVM(python实现)
SVM就是试图寻找能将训练样本区分开的最优划分超平面,直观上我们可以看出H3才是做好的,到样本两边距离相等且最大,,这里的最好是划分的超平面对训练样本的“容忍性”最好。。。在样本空间中,划分的超平面可以用如下方程来描述: W(T)x+b=0,其中,w位法向量,决定里超平面的方向,b为位移项,决定了超平面与原点的距离。我们这次使用的结果标签是y=-1,y=1,替换在logis
2017-11-03 18:08:50
1546
原创 TensorFlow学习之实现MNIST识别(实现断点重训)-----详细注解版
首先介绍一下:这里有三个文件:mnist_inference.py 实现了神经网络的前向传播mnist_train.py 实现了神经网络的训练(可直接运行,训练模型)mnist_eval.py 实现了模型的断点重训(可在train文件运行随机中断后,继续运行)下面直接贴代码:代码中有详细的注释。。。。。mnist_inference.py文件代码:# codi
2017-10-31 23:40:27
2341
1
原创 java算法之最大子阵列
问题:在一个数组中找出和最大的连续几个数。(至少包含一个数)例如:数组A[] = [−2, 1, −3, 4, −1, 2, 1, −5, 4],则连续的子序列[4,−1,2,1]有最大的和6.输入格式第一行输入一个不超过1000的整数n。第二行输入n个整数A[i]。输出格式第一行输出一个整数,表示最大的和。样例输入31 1 -2
2017-10-31 15:56:08
755
1
原创 Tensorflow学习之逻辑回归的实现
代码:# coding:utf-8import tensorflow as tfimport matplotlib.pyplot as pltimport numpy as npdata=[]label=[]np.random.seed(0)##随机产生训练集for i in range(150): x1=np.random.uniform(-1,1) x2
2017-10-30 14:08:38
2513
2
原创 java算法之Sqrt of x
问题:Sqrt(x)Implement int sqrt(int x).Compute and return the square root of x.思路:1.暴力求解,从最小遍历到x/2,然后看哪个数的平方,等于目标的值。2. 用二分查找法,寻找sqrtx的值。用第二种方法的巧妙之处就在于,可以把原数x看成一个从0到x的数组,然后用二分法,查找数组里面的某个值,
2017-10-29 15:20:05
351
原创 java算法之Search for a Range
问题:Search for a RangeGiven an array of integers sorted in ascending order, find the starting and ending position of a given target value.Your algorithm's runtime complexity must be in the order of
2017-10-29 11:15:26
477
原创 机器学习理论篇之线性回归(python实现)
1. 线性回归模型:(M个样本,n个特征值,一个bias)矩阵化表现形式:注意这里采用的XW的向量表示形式,如果要采用W(T)X的形式X矩阵的向量表现形式就不一样了。其实机器学习的目的就是要求出最优的W参数值,因此我们需要用到损失函数。2.损失函数(cost): 最小二乘法表示损失函数: 何为最小二乘法,其实很简单。我们有很多的给定点,这时候
2017-10-28 19:58:32
647
转载 位运算之技巧篇
1.判断奇偶只要根据最未位是0还是1来决定,为0就是偶数,为1就是奇数。因此可以用if ((a & 1) == 0)代替if (a % 2 == 0)来判断a是不是偶数。2.交换两数可以用位操作来实现交换两数而不用第三方变量: void Swap(int &a, int &b) { if (a != b)
2017-10-28 17:35:48
244
原创 java算法实现之Sum of Two Integers
问题:Calculate the sum of two integers a and b, but you are not allowed to use the operator + and -.Example:Given a = 1 and b = 2, return 3.计算2个整数相加,不能使用'+','-'操作符。思路:不能用操作符进行+ - 操作,很容易想到用
2017-10-28 16:20:41
373
原创 java算法之灯的开关问题
灯的开关问题:初始状态,有100盏灯,都是亮的。第一轮,第1,2,3,4,5,6....100盏灯按一下开关。 1的倍数第二轮,第2,4,6,8,10......100盏灯按一下开关。 2的倍数第三轮,第3,6,9,12,15......99盏灯按一下开关。 3的倍数。。。。。第100轮,第100
2017-10-27 23:08:10
3314
原创 java算法之数学问题(位操作)
数学问题:public static int flag(int n) { int count=0; while(n>0){ System.out.println(Integer.toBinaryString(n)); n=n&(n-1); count++; } return count; }问:flag(2017)结果,count为多少?思路:这个问
2017-10-27 22:12:36
462
原创 github 开源项目之face_recognition学习
github 开源项目之face_recognition学习 该项目是要构建一款免费、开源、实时、离线的网络 app.问题解决:-- Could NOT find Boost-- Found PythonLibs: /usr/lib/x86_64-linux-gnu/libpython2.7.so (found suitable version "2.7.13",
2017-10-27 21:59:07
2309
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人