写点什么

网络攻防学习笔记 Day57

发布于: 刚刚
网络攻防学习笔记 Day57

常用的内存分析工具如下

Volatility:一款开源内存取证框架。

Evolve:Volatility 内存取证框架的 Web 界面。

Rekall :用于从 RAM 中提取样本的开源工具。

inVtero.net :支持 hypervisor 的 Windows x64 高级内存分析。

Memoryze :由 Mandiant 开发的 Memoryze 是一个免费的内存取证软件,可以帮助应急响应人员在内存中定位恶意部位,Memoryze 也可以分析内存镜像或者装成带有许多分析插件的系统,仅支持 Windows。


常见 Linux 日志位置:

/var/log/boot.log:系统开机引导日志。

/var/log/messages:进程日志文件汇总,包过系统整体日志,很有价值。

/var/log/secure:与安全相关的日志。

/var/log/httpd:Apache 服务日志。

/var/log/httpd/access.log:Apache 服务 Web 访问日志。

/var/log/httpd/access.err:Apache 服务 Web 访问错误日志。

/var/log/mysql:MySQL 服务日志。

/var/log/xferlog:FTP 服务日志。

~/.bash_history:用户 bash 命令日志。


替换操作,s 命令:

sed's/GET/POST/'access.log:替换文本中的字符串,将 GET 替换成 POST。

sed-n's/test/TEST/p'file:-n 选项和 p 命令一起使用表示只打印那些发生替换的行。

sed-i's/book/books/g'file:直接对源文件进行编辑替换。

sed's/book/books/2g'file:从第二行开始匹配替换。


删除操作,d 命令:

sed'/^$/d'file:删除空白符。

sed'2d'file:删除文件的第二行。

sed'2,$d'file:删除文件的第 2 行到末尾所有行。

sed'$d'file:删除文件最后一行。

sed'/^test/d'file:删除文件中所有开头是 test 的行。


Awk 脚本基本结构

awk'BEGIN{ print"start"}pattern{ commands }END{ print"end"}'file

一个 Awk 脚本通常由 BEGIN 语句块、能够使用模式匹配的通用语句块、END 语句块三部分组成,这三个部分是可选的。任意一个部分都可以不出现在脚本中,脚本通常是被单引号或双引号中。


针对 Web 服务的逆向分析可以使用一些自动化的工具来实现,比如 Webshellkill 和 Backdoorrman。也可以人工分析实现,审查未知新文件的源码即可。


一般而言,apt 的攻击过程分为:定向情报搜集、单点攻击突破、控制通道构建、内部横向渗透、数据收集上传


发布于: 刚刚阅读数: 3
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day57