加载中
实战Mysql云数据库的备份恢复

这是一篇关于阿里云数据库的实战文章。办案单位调证XX.com的阿里云服务器镜像,回来后传给我们相关数据,是个十几M的文件,怎么不是几个G的镜像呢?让办案单位跟阿里小二联系要完整镜像文件,...

09/07 22:17
27
BT的取证流水帐

没什么技术含量,只是备查。 接连碰到几个关于“宝塔”镜像文件的勘验取证工作,每次都是上一次的重复回忆,觉得有点烦,特记录下操作流水帐,方便自己。 1、仿真起来,一般都是CentOS7.5的;...

08/31 12:45
34
工具:远程登陆专项提取工具

上期BT取证流水帐中,其中一台是Win2008Server的服务器,当时就用以前写的一个工具“EventViewer”来提取远程登陆(3389)的Ip,工具长这样: 这个工具很好使,属定制开发,其中一项功能是专...

09/02 10:58
96
升级遇坑,打卡体验

搞开发编程的新时代农民工,经常过这种“上上下下”的生活。今天写一篇这种心路文章,给大家推送一种体验。 前段时间,在某网站溜达时,发现我程序中用到的一个控件有了新版本,而且属于幅度...

工具:秒拔工具

“秒拔工具”,用来自动切换IP,常见于黑灰产。 一般人不会用这个,可以说用这个的基本都是不干正事的,哪有正常人不停地切换Ip变来变去的,固定的不香吗? 市面上有一些隐藏自己IP的工具软件...

08/22 21:18
36
重温历史:流媒体m3u8下载工具

准备写材料,作一些素材方面的收集工作。百度了下,没想到,现在都有这么多了... ... 码农归属新生代农民工有一定的道理! 回想2019年,因为办一个案子时没有称手的“m3u8下载工具”(GUI的没...

08/17 11:26
29
Windows取证/信息收集神器

这是一款2017年出品的神器,没想到今日仍能使用,网上提供了源码,可以作二次开发。 FastIR Collector是一个Windows下的信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册...

重温历史:反黑工具一

前段时日,有网友问我开发了多少工具软件,一时间答不上来,正好今日有时间,就统计了下,发现近十年间不知不觉中开发了有60多个(需要时给大伙展示一下),都是来源于实战需求开发的,有的也介...

08/08 09:59
47
汇编:定位 EIP/RIP

老外的文章初看很是絮叨。文中的用法,我的总结就是两种:“特殊指令法”和“call/pop大法”,这在程序中很常见。为什么老外花这么长的篇幅来讲,应该看到他们在细的地方很抠,这确实值得我们...

汇编:定位 Windows API 地址

架不住“文探”的一再“邀请”,在《今日头条》上开了个铺子,同名账号。有点摸不着头脑,是因为上一篇文章“汇编:定位kernel32的基地址”突然在《头条》上“火”了起来,展现量达到了10000...

08/01 23:43
26
汇编:定位kernel32的基地址

虽然我以往的文章中都有此内容,但没有专门拿出一篇来学习讲解,恰好发现老外有篇讲这个的,就引用过来了,尤其是有x86和x64的汇编内容。虽然老外文很基础,但却讲得颇为详细。总的来说,落后...

开发二进制文件静态快速分析工具(续二)

在去年7月开发完成了“二进制文件静态快速分析工具”1.0版本,框架搭建部分;当年9月又进行了功能扩充升级,形成了1.3版本(前文)。一直都在进行升级扩充的准备,酝酿了很久,近日终于抽出时...

07/27 00:30
18
峰会归来

此次峰会,真心不容易,来的都是真爱。 峰会最后一天,我是“仓皇出逃”,因为超大台风“烟花”(13级)要登陆宁波了,导致第二天的返程订票全部被取消、要停运了(在我写这篇文章时,“烟花...

07/25 14:14
24
工具:Sharp系列

在2020年介绍过一款有意思的工具《渗透内网快速浏览数据库表列名》,这个作者的名字为uknowsec,其实他还有很多其他有意思的小工具,都是以Sharp命名的,确实也不错,这里一并打包介绍, 1、...

【我的FIC2021演讲议题】之听会知识准备

随着“峰会”的临近,我的议题之PPT已完成了倾述。整个PPT没有夺人眼球的炫彩,有的只是抽丝剥茧地引领你进入技术深处、去碰触那无上迷人、心之颤栗的美妙深邃,你会为能如此近地接触到技术大...

07/17 21:39
7
【我的FIC2021演讲议题】之听会知识准备

随着“峰会”的临近,我的议题之PPT已完成了倾述。整个PPT没有夺人眼球的炫彩,有的只是抽丝剥茧地引领你进入技术深处、去碰触那无上迷人、心之颤栗的美妙深邃,你会为能如此近地接触到技术大...

07/17 21:39
16
检测 DLL UnHooking

恶意软件通常采用UnHook技术来解锁DLL(这种方法可完全解锁内存中加载的任何给定DLL)以逃避EDR的监管。最近,看到一篇老外的文章,给出了一种“检测EDR逃避”的检测方法。文末附上“API UnHoo...

工具:Volatility3-GUI

童鞋们对学习的热情令我感动,推荐一款Volatility3-GUI工具。一直以来都有人童鞋找我要那个2.6版本的exe-GUI程序,后来Volatility升级到3.0了,是用python改写的。因为涉及到各种py包,就没有...

06/26 08:33
136
温《Parent PID Spoofing》,看APC注入欺骗Explorer

那是一篇好文,因为时间较早没有引起应有的关注,实在不忍心将这么有内涵的技术帖隐没于文海中,特抽出来再温故。同时在此基础之上(“这种手法非常具有迷惑性,而且难以检查出来”),利用APC...

我的现勘取证工具包2021(上半年)

上次介绍这个“勘验工具包”是在去年的12月份,转眼就过去了半年。看了程序的升级历史,才发觉工具包里又增添了一批新成员,依旧采用“网上罗列 + 自写”的方式。由于是基于windows的,所以还...

06/23 22:19
192

没有更多内容

加载失败,请刷新页面

返回顶部
顶部