GO调用YARA进行威胁狩猎环境配置
在日常事件响应或安全工作中,我们经常需要借助自动化工具,结合第三方规则库来快速识别已知的恶意软件。对于大多数从业者来说,Python 或 Go 是常用的开发语言。Python 自带 YARA 库,可以
阅读全文银狐情报在线共享文档
银狐(又名:“游蛇”“谷堕大盗”等)是一款专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种之一,通过微信、QQ、邮件以及伪造工具网站等渠道进行钓鱼攻击,主要面向政府、高校及企事业单位等关键
阅读全文用AI逆向分析银狐帮我打工
日常在银狐病毒处置工作中,我们往往关注的是计划任务、服务以及登录启动项,而日常重中之中则是关注计划任务和服务,因为银狐病毒在做权限维持时就喜欢用这个方式进行维权。但是近期遇到个样本,在处置过程中,把文
阅读全文技术博客暗藏黑链?手机一打开就跳违规网站,抓包拆解全过程
周末休息不知道干什么,游戏也不想打,电视也不想看(有一说一韩立进入交代期了,开始硬气了),就去网上看看技术文章。在手机浏览器中输入golang数据分析库,找到一个站点,刚准备下滑,就发现文章我在手机端
阅读全文警惕!伪装成各类办公软件、运维软件的“银狐”病毒
一、前言“银狐”木马最早出现在2023年,是基于开源Gh0st远控木马改造,目前的变种已经达到了上百种,银狐木马目前的传播方式从最早的即时通讯工具传播变成了仿冒软件网站传播。主要危害:控制主机、窃取信
阅读全文蓝队值守利器-IP白名单过滤与溯源工具2.0GUI版本发布
温馨提示:该工具运行时不会使用本机主动对目标IP进行扫描,但是会调用第三方接口,所以会存在对互联网发送大量HTTP请求情况,使用时请保持网络畅通,如果网络环境比较特殊的场景下请勿使用该工具,避免引起不
阅读全文从Sleep Mask到Beacon Gate看现代EDR规避技术
一、什么是Sleep MaskSleep Mask 是 Cobalt Strike 在内存中屏蔽和解除自身屏蔽的功能。主要目的是避免内存检测,但是Sleep Mask本身会被作为检测的一部分。二、从
阅读全文FRP源码阅读,学习FRP工作原理
好久没阅读源码学习了,闲暇之余,找了下frp早期源码看了看并做下阅读记录。简介frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议,且支持 P2P
阅读全文Windows图形化应急分析工具
关于Hawkeye 本工具为安全分析、应急响应、事件响应、DFIR、安全服务等岗位从业人员设计的一个图形化Windows安全分析工具,涵盖常见Windows安全分析场景,能够有效的发现Windows主
阅读全文PikaY-一款开源的内存和文件威胁检索工具
前言 现基础的Yara 工具,在内存检索和文件检索层面,还是只能支撑单个文件或者进程的扫描。如果需要批量的对文件或者是扫描,就是个很头疼的问题。故此使用https://github.com/hillu
阅读全文跟着黑客学习fake captcha
原文 本文由好友r0bepr所写,最早发布于freebuf,链接:https://www.freebuf.com/articles/system/423758.html在应急处理过程中,正好捕获到此类
阅读全文[更新日志]hawkeye-去除规则,避免杀软误报
公众号后台留言看了很多,也有小伙伴说程序报毒同时github issue也有相同的声音,反馈存在报毒首先这是个安全分析工具,主要目的是分析系统存在的异常信息,方便安全工程师快速定位的一款工具,程序全部
阅读全文【应急响应基础】-Windows基础
在Windows操作系统中,我们需要使用常见的Windows终端命令来辅助我们来获取一些信息来进行判断,同时还需要一些图形化工具来辅助我们来判断当前Windows主机是否存在异常情况,快速的开展相关的
阅读全文Windows应急分析工具-HawkEye v2(GUI)
前言 在25年年初,在公众号上以及Github发布了个人编写的Windows应急响应工具,github地址:https://github.com/mir1ce/Hawkeye,感谢捧场,目前已经收获1
阅读全文