在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統消息
      • 評論與回復
      VIP于 到期 續費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發帖/加入社區
      會員中心
      創作中心
      發布
      創作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      攻擊者訪問了“Gideon”用戶

      哆啦安全 ? 來源:哆啦安全 ? 2023-11-29 15:50 ? 次閱讀

      上文我們對第一臺Target機器進行內存取證,今天我們繼續往下學習,內存鏡像請從上篇獲取,這里不再進行贅述

      Gideon

      0x01 - 攻擊者訪問了“Gideon”用戶,以便向AllSafeCyberSec域控制器竊取文件,他們使用的密碼是什么?

      攻擊者執行了net use z: \10.1.1.2c$ 指令將 10.1.1.2域控制器的C盤映射到本地的Z盤,并且使用了rar壓縮工具將文件存儲在 crownjewlez.rar里,所以密碼就在這里了

      ce2d0384-8e49-11ee-939d-92fbcf53809c.png

      0x02 - 攻擊者創建的RAR文件的名稱是什么?

      ce419524-8e49-11ee-939d-92fbcf53809c.png

      0x03 - 攻擊者向RAR壓縮包添加了多少文件?

      ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

      ce61486a-8e49-11ee-939d-92fbcf53809c.png

      將進程導出成dmp格式

      ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

      ce6ca0fc-8e49-11ee-939d-92fbcf53809c.png

      直接搜索關鍵字,按照txt格式搜索就可以

      strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

      ce854724-8e49-11ee-939d-92fbcf53809c.png

      這里亂七八糟的,數來數去也就是3個,這里grep txt的原因是因為我們在上面的*txt就已經知道別人只是把txt文件壓縮了,所以我們只要看txt文件就行
      后來發現不用導出

      strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

      ce9216fc-8e49-11ee-939d-92fbcf53809c.png

      0x04 - 攻擊者似乎在Gideon的機器上創建了一個計劃任務。與計劃任務關聯的文件的名稱是什么?

      ./volatility_2.6_lin64_standalone-ftarget2-6186fe9f.vmss--profile=Win7SP1x86_23418filescan|grep'System32\Tasks'

      ceb28a7c-8e49-11ee-939d-92fbcf53809c.png

      導出

      ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

      cec79980-8e49-11ee-939d-92fbcf53809c.png

      cee41f56-8e49-11ee-939d-92fbcf53809c.png

      POS

      0x05 - 惡意軟件的CNC服務器是什么?

      老規矩,先看第三個鏡像的信息

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

      cef1276e-8e49-11ee-939d-92fbcf53809c.png

      網絡掃描

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

      cf074436-8e49-11ee-939d-92fbcf53809c.png

      暫時看到iexplore.exe ,該進程貫穿核心,而后我們繼續往下看,嘗試過濾一下惡意代碼掃描結果

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

      cf1e898e-8e49-11ee-939d-92fbcf53809c.png

      暫時對應了,所以此題答案就是54.84.237.92

      cf38e8ce-8e49-11ee-939d-92fbcf53809c.png

      0x06 - 用于感染POS系統的惡意軟件的家族是什么?

      筆者嘗試了很多方法都沒有找到正確的木馬家族,然后就看了一下國外大佬的,才知道原來malfind也可以導出文件

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

      cf4584da-8e49-11ee-939d-92fbcf53809c.png

      cf6afed6-8e49-11ee-939d-92fbcf53809c.png

      cf80f63c-8e49-11ee-939d-92fbcf53809c.png

      0x07 - Allsafecybersec的具體應用程序是什么?

      strings process.0x83f324d8.0x50000.dmp| grep exe

      cfaca25a-8e49-11ee-939d-92fbcf53809c.png

      0x08 - 惡意軟件最初啟動的文件名是什么?

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory

      cfc499aa-8e49-11ee-939d-92fbcf53809c.png

      或者將3208進程導出來

      ./volatility_2.6_lin64_standalone-fPOS-01-c4e8f786.vmss--profile=Win7SP1x86_23418memdump-p3208-D./tmp

      cfe38d56-8e49-11ee-939d-92fbcf53809c.png

      strings 3208.dmp| grep exe | grep all

      cff9fdde-8e49-11ee-939d-92fbcf53809c.png


      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
      • 控制器
        +關注

        關注

        112

        文章

        16412

        瀏覽量

        178708
      • CNC
        CNC
        +關注

        關注

        7

        文章

        313

        瀏覽量

        35246
      • RAR
        RAR
        +關注

        關注

        0

        文章

        3

        瀏覽量

        6076

      原文標題:Gideon

      文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏

        評論

        相關推薦

        對嵌入式系統的攻擊 攻擊者通過什么途徑得到ATM的密鑰呢?

           攻擊著可能從最簡單的操作開始,假如密鑰存儲在外部存儲器,攻擊者只需簡單地訪問地址和數據總線竊取密鑰。即使密鑰沒有連續存放在存儲器內,攻擊者仍然可以**外部代碼,確定哪個存儲器包含
        發表于 08-11 14:27

        CC攻擊

        了解CC攻擊的原理及如果發現CC攻擊和對其的防范措施。   1、攻擊原理   CC攻擊的原理就是攻擊者控制某些主機不停地發大量數據包給對方服
        發表于 09-10 15:59

        阿里云DDoS高防 - 訪問攻擊日志實時分析(三)

        DDoS保護的網站目前的總體運營狀況,包括有效請求狀況、流量、趨勢以及被CC攻擊的流量、峰值、攻擊者分布等。[/tr][tr=transparent]OS訪問中心
        發表于 07-11 15:16

        網絡攻擊的相關資料分享

        持續檢測現有網絡中的流量變化或者變化趨勢,從而得到相應信息的一種被動攻擊方式。主動攻擊:是指通過一系列的方法,主動地獲取向被攻擊對象實施破壞的一種攻擊方式。典型的主動
        發表于 12-23 07:00

        cc攻擊防御解決方法

        不到真實ip,但是此舉只能防住部分比較菜的攻擊者,除非你做到真正的把ip隱藏起來。禁止代理訪問前面講了攻擊者是通過大量代理進行攻擊,設置禁止代理訪問
        發表于 01-22 09:48

        基于攻擊者角度的網絡安全評估方法

        針對 網絡安全 的評估問題,提出了基于攻擊者角度的評估模型,并以此為依據建立評估指標體系。在此基礎上,借助AHP灰色理論對網絡的安全屬性在網絡攻擊過程中遭受的破壞程度進
        發表于 07-13 11:08 ?21次下載
        基于<b class='flag-5'>攻擊者</b>角度的網絡安全評估方法

        攻擊者為中心的安全協議驗證機制

        提出一種能對安全協議進行分析的自動化驗證機制。提出需求的概念,認為需求是攻擊者未知但又對攻擊者合成目標項至關重要的知識集合,并建立了以需求為中心的攻擊者模型;設計一種以攻擊者為中心的狀
        發表于 01-09 11:05 ?0次下載
        以<b class='flag-5'>攻擊者</b>為中心的安全協議驗證機制

        攻擊者可通過本地WiFi控制目標iPhone

        人們一般認為這種攻擊方式需要社會工程的參與,因為 iPhone 機主至少需要點擊 iPhone 設備上的彈窗以同意與攻擊者的設備進行配對。但這并不難實現,用戶經常會在匆忙中連接陌生人的筆記本為手機臨時充電,而沒有在意與陌生人進行
        的頭像 發表于 04-21 10:29 ?4939次閱讀

        攻擊者怎樣在智能家居系統中制造混亂

        安全公司趨勢科技的最新研究表明,在普通家庭中發現一些設備比其他設備更容易受到網絡攻擊,而且攻擊者有很多方法制造混亂。
        發表于 09-03 14:17 ?469次閱讀

        最新報告指出:DDoS攻擊者在2020年第二季度已改變攻擊策略

        根據Nexusguard的最新報告,DDoS攻擊者在2020年第二季度改變了攻擊策略,點塊式(Bit-and-piece)DDoS攻擊與去年同期相比增加了570%。
        的頭像 發表于 10-12 12:04 ?2163次閱讀

        谷歌在Linux內核發現藍牙漏洞,攻擊者可運行任意代碼或訪問敏感信息

        谷歌安全研究人員在Linux Kernel中發現了一組藍牙漏洞(BleedingTooth),該漏洞可能允許攻擊者進行零點擊攻擊,運行任意代碼或訪問敏感信息。
        的頭像 發表于 10-16 14:22 ?3698次閱讀

        攻擊者角度淺談系統安全

        攻擊者主要的目標圍繞著破壞系統安全性問題,通過深入了解系統安全的攻擊者,從攻擊者的視角上來考慮設計系統安全性,這樣能夠更好了解如何對系統采取主動和被動的安全措施。
        發表于 12-21 15:05 ?598次閱讀

        不易被攻擊者識別為跟蹤設備的設備

        電子發燒友網站提供《不易被攻擊者識別為跟蹤設備的設備.zip》資料免費下載
        發表于 12-29 11:25 ?0次下載
        不易被<b class='flag-5'>攻擊者</b>識別為跟蹤設備的設備

        網絡攻擊者將物聯網設備作為攻擊目標的原因

        物聯網設備受到網絡攻擊是因為它們很容易成為目標,在正常運行時間對生存至關重要的行業中,它們可以迅速導致大量的勒索軟件攻擊。制造業受到的打擊尤其嚴重,因為網絡攻擊者知道任何一家工廠都無法承受長期停工的后果,因此他們索要的贖金是其他
        發表于 06-14 14:46 ?616次閱讀

        【虹科技術分享】ntopng是如何進行攻擊者和受害檢測

        在最新的ntopng版本中,為了幫助理解網絡和安全問題,警報已經大大豐富了元數據。在這篇文章中,我們重點討論用于豐富流量警報和標記主機的"攻擊者"和"受害"
        的頭像 發表于 04-24 17:12 ?920次閱讀
        【虹科技術分享】ntopng是如何進行<b class='flag-5'>攻擊者</b>和受害<b class='flag-5'>者</b>檢測
        主站蜘蛛池模板: 中文字幕第一区| 国产成人精品影视| 黄色网址视频在线播放| 天天躁狠狠躁| 天天免费视频| 成人在线91| 97成人免费视频| 午夜一级毛片| 人人干人人做| 成人5252色| 在线视频三区| 中文字幕在线不卡| 性色小视频| 国产三级观看久久| 亚洲天堂伦理| 好爽好大www视频在线播放| 91精品啪在线观看国产日本| 日本边添边爱边摸边做边爱| 自拍你懂的| 色秀视频免费高清网站| 女人张开腿给人桶免费视频 | 欧美 ed2k| 天天操天天干天天爽| 777色狠狠一区二区三区香蕉| 午夜精品aaa国产福利| 午夜免费在线观看| 苦瓜se影院在线视频网站| 啪啪亚洲| 中文字幕在线一区二区在线| 美女写真mm爽爽爽| 很黄很黄叫声床戏免费视频| 日本aaaa毛片在线看| 伊人精品久久久大香线蕉99| 日本亚洲精品色婷婷在线影院| 日韩免费观看的一级毛片| 久久久久久综合| 国产香港日本三级在线观看| 2022欧美高清中文字幕在线看| 国产色片| aaaaa国产毛片| 日本三级黄色|