|
[求助]师傅们碰到一个扫描445端口的病毒
这种只是用了svchost.exe的壳,比如远程线程、APC什么的。你这个系统应该有陈旧的SMB漏洞未打补丁。 先用services.msc禁用Server服务,或者 sc config lanmanserver start= disabled net stop srv 然后重启OS,你们内网应该有其他机器中招了,Wireshark抓包看看 |
|
[分享]从注册表查询USB插拔记录
参 USBDriveLog https://www.nirsoft.net/utils/usb_drive_log.html http://www.linux-usb.org/usb.ids USBDriveLog是第三方工具,将Win10、Win11内置USB日志以更人性化的方式展示出来。该工具可查看U盘插入时间、拔出时间、容量、文件系统类型等等,还有许多可用作U盘指纹的数据。一般关心这几列数据: Serial Number // U盘序列号 Plug Time // U盘插入时间 Unplug Time // U盘拔出时间 Capacity // U盘容量(大小) File System // U盘文件系统类型 涉及USB设备取证场景时,USBDriveLog是一种选择。该工具只有一个EXE,无需安装,便携。为了显示Vendor Name、Product Name,需要额外下载usb.ids,与EXE置于同一目录。 缺省在线查看USB日志,但可以离线查看USB日志,只要找得着日志,比如这种位置: X:\Windows\System32\winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx X:\Windows\System32\winevt\Logs\Microsoft-Windows-Storsvc%4Diagnostic.evtx 若日志位于C盘,需要管理员权限访问这两个文件,离线查看时无所谓。具体操作如下: File->Choose Data Source (F7)->Load from->External Folder ☆ 参考资源 [1] USBDriveLog https://www.nirsoft.net/utils/usb_drive_log.html http://www.linux-usb.org/usb.ids [2] USB storage forensics in Win10 #1 - Events - [2019-08-03] https://www.senturean.com/posts/19_08_03_usb_storage_forensics_1/ [3] Get-WinEvent https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.diagnostics/get-winevent Creating Get-WinEvent queries with FilterHashtable https://learn.microsoft.com/en-us/powershell/scripting/samples/creating-get-winevent-queries-with-filterhashtable [4] Consuming Events (Windows Event Log) https://learn.microsoft.com/en-us/windows/win32/wes/consuming-events [5] wevtutil https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
最后于 2024-1-15 09:18
被scz编辑
,原因: 补充参考资源
|
|
|
|
[原创]Windows平台反调试技术学习
给你推荐一篇老文章,成体系地总结了一堆相关技术,为防止链接失效,刚才测试了一下,还在 Anti-Unpacker Tricks - Peter Ferrie [2008-05-01] https://pferrie.tripod.com/papers/unpackers.pdf |
|
[原创]ida7使用python问题
你已经解决了,我补充一个就此问题的过往讨论 《4.37 Portable IDA+IDAPython》 https://scz.617.cn/python/202011182246.txt 4.37 Portable IDA+IDAPython https://scz.617.cn/python/202011182246.txt Q: IDA已经绿色化,现在不想让IDA去找安装过的Python,事实上也没安装Python,但又 需要用IDAPython。启动IDA时提示: LoadLibrary(X:\Green\IDA\plugins\idapython3.dll) error: 找不到指定的模块。 X:\Green\IDA\plugins\idapython3.dll: can't load file 启动后底部没有Python命令栏。 A: zyh 2020-11-18 下载便携版Python https://www.python.org/downloads/ https://www.python.org/downloads/release/python-390/ https://www.python.org/ftp/python/3.9.0/python-3.9.0-embed-amd64.zip 从python-3.9.0-embed-amd64.zip中析取如下文件: python3.dll python39.dll python39.zip python39._pth _ctypes.pyd libffi-7.dll 复制到IDA根目录,比如: X:\Green\IDA\ 一般情况下已经可以使用IDAPython。如果再有问题,用Process Monitor监控 ida64.exe,补齐缺失的组件。从此随意移动IDA根目录到别处使用。 D: scz 2020-11-19 按前述办法简单处理后,在IDA的Python命令栏已经可以执行很多Python代码,但毕 竟Python环境不完善,有可能在后续使用中碰上问题,见招拆招。 比如,在IDA的Python命令栏输入"import socket",提示: Traceback (most recent call last): File "<string>", line 1, in <module> File "<frozen zipimport>", line 259, in load_module File "socket.py", line 51, in <module> ModuleNotFoundError: No module named '_socket' 此时需要复制如下文件到IDA根目录: _socket.pyd select.pyd 我是怎么知道的呢?愣试是一种办法,我则是用Process Monitor监控便携版 python.exe,在后者中"import socket",看它加载了哪些文件。 偷懒的话,把python-3.9.0-embed-amd64.zip中所有文件复制到IDA根目录好了,一 堆pyd、dll文件。不过IDAPython编程比较特殊,很可能不需要那些库。 D: scz 2020-11-20 IDAPython可能会去找这些注册表项: -------------------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Python\PythonCore\3.9\InstallPath] @="C:\\Python39\\" "ExecutablePath"="C:\\Python39\\python.exe" "WindowedExecutablePath"="C:\\Python39\\pythonw.exe" [HKEY_CURRENT_USER\SOFTWARE\Python\PythonCore\3.9\PythonPath] @="C:\\Python39\\Lib\\;C:\\Python39\\DLLs\\" -------------------------------------------------------------------------- 找不着时有其他尝试。便携版Python肯定没有这些注册表项,安装版Python有。 Q: IDA 7.6 SP1已经绿色化。按前述办法将Python相关文件置于IDA相关目录,启动时告 警: WARNING: Python 3 is not configured (Python3TargetDLL value is not set). Please run idapyswitch to select a Python 3 install. IDA 7.5系列无此问题。 A: scz 2021-05-01 IDA 7.6相比IDA 7.5在寻找Python解释引擎的套路上有变,后者会尝试当前目录,前 者不会。7.6有个idapyswitch.exe用于处理此事,如欲使用当前目录下的Python引擎, 可以这样: $ idapyswitch.exe --force-path .\python3.dll 它实际设置注册表项 -------------------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Hex-Rays\IDA] "Python3TargetDLL"=".\\python39.dll" -------------------------------------------------------------------------- reg.exe delete "HKCU\SOFTWARE\Hex-Rays\IDA" /v "Python3TargetDLL" /f reg.exe add "HKCU\SOFTWARE\Hex-Rays\IDA" /v "Python3TargetDLL" /t REG_SZ /d ".\python39.dll" /f reg.exe query "HKCU\SOFTWARE\Hex-Rays\IDA" /v "Python3TargetDLL" |
|
|
|
[原创]VMP完整源码大放送
谢谢分享 |
|
[原创]用RSA-Tools破解RSA-1024..
glopen N是素数,就不可能分解出PQ阿,违背RSA理论了欧拉定理 若a、n>1都是正整数,且gcd(a,n)=1,则: a^φ(n)≡1(mod n) a^(φ(n)+1)≡a(mod n) 上述运算成立的充要条件里并未要求n为合数,RSA只是欧拉定理很小的一次应用。当n是单素数时,存在符合欧拉定理的情形。 |
|
[分享]IDA_Patch_KEYGEN源码
你别跟他吵了,我看过几次他的发言,感觉精神状态不稳定,非常冲,再吵下去,可能影响你的心情。 |
|
linux端口复用,可以做的加我
可以参考一下这两个东西 sshttp https://github.com/stealth/sshttp sslh - ssl/ssh multiplexer http://www.rutschle.net/tech/sslh.shtml |