MikannseのSekai

Introduction偶尔，当您担任 SOC 分析师时，您会遇到看似可疑的内容（文件或流量），并且您必须确定该内容是否是恶意的。对此类内容提供的所有混杂信号感到困惑是正常的。对于刚开始从事网络安全工作的人来说，这有点不知所措，并且开始自我猜测是很常见的。知道采取什么步骤来解决这种情况很有帮助。这个房间将列出一些步骤，以帮助您就特定可疑文件做出初步结论。 值得注意的是，在这个房间里，您将了解： 什么是恶意软件？ 如何开始分析恶意软件 静态和动态恶意软件分析 帮助您分析恶意软件的资源 让我们开始吧！ Malware Analysis恶意软件恶意软件一词源于“恶意软件”一词。因此，任何具有恶意目的的软件都可以被视为恶意软件。恶意软件根据其行为进一步分为不同的类别。但是，我们不会详细介绍这个房间里的恶意软件。在这里，我们将思考如果我们怀疑在机器中发现恶意软件，我们将采取哪些步骤。那么，让我们开始吧。 恶意软件分析背后的目的恶意软件分析是一项重要的技能。简要概述一下，恶意软件分析由安全行业的以下人员执行： 安全运营团队分析恶意软件以编写针对其网络中恶意活动的检测。 事件响应团队分析恶意软 ...

Introduction简介 这个房间需要您了解基本的 Linux 知识，例如安装软件和用于系统常规导航的命令。此外，这个房间并非旨在测试您的知识或得分。它旨在鼓励您跟随并尝试您在这里学到的知识。 与往常一样，我希望您从这个房间中学到一些东西，即 Yara（又一个荒谬的缩写）的奇妙之处及其在当今信息安全中的重要性。Yara 由 Victor M. Alvarez (@plusvic) 和 @VirusTotal 开发。查看 GitHub 存储库 此处。 What is Yara?关于 Yara 的一切 “恶意软件研究人员（以及其他所有人）的模式匹配瑞士军刀”（Virustotal.，2020) 有了这样一句恰当的引言，Yara 可以根据二进制和文本模式（例如文件中包含的十六进制和字符串）识别信息。 规则用于标记这些模式。例如，Yara 规则经常被编写为根据文件呈现的特征（或模式）来确定文件是否是恶意的。字符串是编程语言的基本组成部分。应用程序使用字符串来存储文本等数据。 例如，下面的代码片段在 Python 中打印“Hello World”。文本“Hello World”将存储为字符串 ...

Introduction to MITRE对于网络安全领域的新手来说，您可能从未听说过 MITRE。我们这些已经了解的人可能只会将 MITRE 与 CVE（常见漏洞和暴露）列表联系起来，这是您在搜索特定漏洞的利用时可能会查看的一种资源。但 MITRE 在网络安全之外的许多领域进行研究，以“确保国家安全、稳定和福祉”。这些领域包括人工智能、健康信息学、太空安全等等。 来自 Mitre.org：“在 MITRE，我们解决问题，让世界更安全。通过我们联邦资助的研发中心和公私合作伙伴关系，我们与政府各部门合作，应对国家安全、稳定和福祉面临的挑战。” 在这个房间里，我们将重点介绍美国非营利组织 MITRE 公司为网络安全社区创建的其他项目/研究，具体包括： ATT&CK®（对抗战术、技术以及通用知识）框架 CAR（网络分析存储库）知识库 ENGAGE（抱歉，不是花哨的缩写） D3FEND（检测、拒绝和DisruptionFrameworkEmpoweringNetworkDefense) AEP（ATT&CKEmulationPlans） Basic Terminology在 ...

Vol2系统相关判断内存镜像内存信息 vol -f file imageinfo 或者 vol -f file kdbgscan 插件使用: vol -f file –profile=xxx plugin timeliner: 将所有操作系统事件以时间线的方式展开 shutdowntime: 最后一次关机时间 envars -p :查询指定进程的环境变量 进程相关pslist：该插件列举出系统进程，但它不能检测到隐藏或者解链的进程， pstree：以树的形式查看进程列表，和pslist一样，也无法检测隐藏或解链的进程 psscan：可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程 dlllist: 列出某一进程加载的所有dll文件 malfind: 用于寻找可能注入到各种进程中的恶意软件,也可以-p指定pid netscan: 获取网络连接 memdump -p: 转存指定进程的内存 文件相关filescan 扫描当前打开的文件 mftparser：解析MFT记录 mftparser –output-file=file -D output_file 敏感信息 ...

IntroductionVolatility 是一款免费的内存取证工具，由 Volatility Foundation 开发和维护，通常由蓝队中的恶意软件和 SOC 分析师使用，或作为其检测和监控解决方案的一部分。Volatility 用 Python 编写，由 Python 插件和模块组成，旨在以即插即用的方式分析内存转储。 Volatility 适用于 Windows、Linux 和 Mac OS，完全用 Python 编写。 Volatility Overview来自 Volatility Foundation Wiki，“Volatility 是世界上使用最广泛的从易失性存储器 (RAM) 样本中提取数字工件的框架。提取技术完全独立于被调查的系统，但提供了对系统运行时状态的可见性。该框架旨在向人们介绍从易失性存储器样本中提取数字工件的技术和复杂性，并为进一步研究这一令人兴奋的研究领域提供平台。” Volatility 由多个插件共同构建，用于从内存转储中获取信息。要开始分析转储，您首先需要识别图像类型；有多种识别此信息的方法，我们将在后面的任务中进一步介绍。一旦您对图像类型和 ...

Introduction介绍我们在 上一个房间 中学习了 Windows 取证，并练习了从 Windows 注册表中提取取证工件。我们学习了如何从 Windows 注册表中收集系统信息、用户信息、访问的文件和文件夹、运行的程序以及连接到系统的外部设备。 但是，注册表并不是取证工件存在的唯一地方。在这个房间里，我们将了解其他地方的取证工件。我们将了解 Windows 常用的不同文件系统，以及在查找工件时在这些文件系统中查找的位置。我们将确定位置和工件以证明执行、文件/文件夹使用或知识以及外部设备使用的证据。我们还将介绍恢复已删除文件的基础知识。对于这个房间的大部分内容，我们将使用 Eric Zimmerman 的工具 来解析工件中存在的信息。我们已经在上一个房间里使用了 Registry Explorer 和 ShellBags Explorer。对于某些任务，我们将使用 Autopsy。 The FAT file systems计算机系统中的存储设备（例如硬盘驱动器或 USB 设备）只是一组位。要将这些位转换为有意义的信息，需要对它们进行组织。为此，计算机科学家和工程师创建了不同的文件 ...

Introduction to Windows ForensicsWindows 计算机取证简介： 计算机取证是网络安全的一个重要领域，涉及收集计算机上执行的活动的证据。它是更广泛的数字取证领域的一部分，涉及所有类型数字设备的取证分析，包括恢复、检查和分析数字设备中的数据。数字和计算机取证的应用范围很广，从法律领域（用于支持或反驳民事或刑事案件中的假设）到私人领域（用于帮助公司内部调查以及事件和入侵分析）。 数字取证解决刑事案件的一个完美例子是 BTK 连环杀手 案。当凶手开始通过寄信来嘲弄警方时，这个案件已经搁置了十多年。当他向当地一家新闻台寄出一张软盘时，案件发生了重大转折，后来被警方作为证据带走。警方成功恢复了驱动器上已删除的 Word 文档，并使用元数据和其他一些证据锁定并逮捕了他。 Microsoft Windows 是目前使用最广泛的桌面操作系统。私人用户和企业更喜欢它，它目前占据了大约 80% 的桌面市场份额。这意味着，对于对数字取证感兴趣的人来说，了解如何在 Microsoft Windows 上执行取证分析非常重要。在本模块中，我们将了解从 Windows 注册表收集 ...

Introduction在这个房间里，我们将介绍使用 Wireshark 进行流量分析和检测可疑活动的技术和要点。请注意，这是 Wireshark 三室中的第三个也是最后一个房间，建议在开始这个房间之前先访问下面列出的前两个房间，练习和复习您的 Wireshark 技能。 Wireshark：基础知识 Wireshark：数据包操作 在前两个房间里，我们介绍了如何使用 Wireshark 并进行数据包级搜索。现在，是时候调查和关联数据包级信息以查看网络流量中的大局，例如检测异常和恶意活动。对于安全分析师来说，通过应用分析师的知识和工具功能来阻止和理解数据包中传播的信息至关重要。这个房间将通过综合分析师知识和 Wireshark 功能来调查数据包级别的详细信息，以检测特定情况下的异常和奇怪情况。 Nmap ScansNmap Scans Nmap 是一种行业标准工具，用于映射网络、识别活动主机和发现服务。由于它是最常用的网络扫描工具之一，安全分析师应该识别用它创建的网络模式。本节将介绍如何识别最常见的 Nmap 扫描类型。 TCP 连接扫描 SYN 扫描 UDP 扫描 了解 Nm ...

Introduction在这个房间里，我们将介绍使用 Wireshark 进行数据包分析的基础知识，并在数据包级别调查感兴趣的事件。请注意，这是 Wireshark 房间三重奏中的第二个房间，建议在开始这个房间之前先访问第一个房间 (Wireshark：基础知识) 来练习和刷新您的 Wireshark 技能。 在第一个房间里，我们介绍了 Wireshark 的基础知识，重点介绍了它的运行方式以及如何使用它来调查流量捕获。在这个房间里，我们将介绍 Wireshark 的高级功能，重点介绍数据包级别的详细信息，包括 Wireshark 统计信息、过滤器、运算符和函数。 Statistics | Summary统计信息 此菜单提供多个可供调查的统计信息选项，帮助用户了解流量范围、可用协议、端点和对话以及某些特定于协议的详细信息（如 DHCP、DNS 和 HTTP/2）的总体情况。对于安全分析师来说，了解如何利用静态信息至关重要。本节简要介绍了已处理的 pcap，这将有助于分析师为调查创建假设。您可以使用“统计信息”菜单查看所有可用选项。现在启动给定的 VM，打开 Wireshark，加载“E ...

IntroductionWireshark 是一款开源、跨平台的网络数据包分析工具，能够嗅探和调查实时流量并检查数据包捕获 (PCAP)。它通常被用作最好的数据包分析工具之一。在本课程中，我们将了解 Wireshark 的基础知识并使用它来执行基本的数据包分析。 Tool OverviewUse Cases Wireshark 是目前最强大的流量分析工具之一。它有多种用途： 检测和排除网络问题，例如网络负载故障点和拥塞。 检测安全异常，例如恶意主机、异常端口使用和可疑流量。 调查和了解协议详细信息，例如响应代码和有效负载数据。 注意：Wireshark 不是入侵检测系统 (IDS)。它只允许分析师发现和深入调查数据包。它也不会修改数据包；它会读取数据包。因此，检测任何异常或网络问题高度依赖于分析师的知识和调查技能。 GUI 和数据 Wireshark GUI 打开时会显示一个一体化页面，可帮助用户以多种方式调查流量。乍一看，有五个部分非常突出。 工具栏 主工具栏包含多个菜单和快捷方式，用于数据包嗅探和处理，包括过滤、排序、汇总、导出和合并。 显示过滤栏 主要查询和过滤 ...

IntroductionWireshark 是一种用于创建和分析 PCAP（网络数据包捕获文件）的工具，通常被用作最佳数据包分析工具之一。在本课程中，我们将介绍安装 Wireshark 的基础知识以及使用它进行基本数据包分析，并深入了解每种常见的网络协议。 InstallationWireshark 的安装非常简单，通常附带一个打包的 GUI 向导。幸运的是，如果您使用的是 Kali Linux（或 TryHackMe AttackBox），那么它已经安装在您的机器上。Wireshark 可以在 Windows、macOS 和 Linux 上运行。要开始在 Windows 或 macOS 设备上安装 Wireshark，您需要先从 Wireshark 网站 获取安装程序。下载安装程序后，只需运行它并按照 GUI 向导操作即可。 如果您使用的是 Linux，则可以使用 apt install wireshark 或类似的包管理器安装 Wireshark。 注意：Wireshark 可能附带其他软件包和工具；您可以决定是否要与 Wireshark 一起安装它们。 有关 Wireshar ...

System Configuration系统配置实用程序 (MSConfig) 用于高级故障排除，其主要目的是帮助诊断启动问题。 有关系统配置实用程序的更多信息，请参阅以下文档 此处 。 有几种方法可以启动系统配置。一种方法是从“开始”菜单启动。 注意：您需要本地管理员权限才能打开此实用程序。 该实用程序顶部有五个选项卡。以下是每个选项卡的名称。我们将在此任务中简要介绍每个选项卡。 General Boot Services Startup Tools 在 General 选项卡中，我们可以选择 Windows 在启动时要加载哪些设备和服务。选项包括：Normal、Diagnostic 或 Selective。 在 Boot 选项卡中，我们可以为操作系统定义各种启动选项。 服务 选项卡列出了系统配置的所有服务，无论其状态如何（正在运行或已停止）。服务是一种在后台运行的特殊类型的应用程序。 在 启动 选项卡中，您不会在附加的 VM 中看到任何有趣的内容。下面是我本地计算机上 MSConfig 的启动选项卡的屏幕截图。 如您所见，Microsoft 建议使用 任务管理器 (t ...