易水哲发布的文章 - 赛博保安日志

Perfctl 进程排查记录

根据前辈所讲：🔹 4.1 木马概况中招后，会中 rootkit，会做权限维持，会自身隐藏等中招后，没有重启过的机器，清除需杀掉所有中招后再启动的进程中招后，重启过的机器，在清除后，需要立马重启需要下载 busybox 来做清除目前看到的行为是植入各种流量代理，用于挂机赚收益🔹 4.2 木马开始阶段大多为暴力破解，成功后开始：检查当前系统是否是 x86_64 架构，如果不是则退出脚本。如果 /tmp 目录不存在，创建该目录并将权限设置为 777（即允许所有用户读、写和执行）。检查 /tmp 是否挂载了 noexec 选项（即不允许执行），如果是，重新挂载 /tmp 使其可以执行。移除 /tmp、/etc/cron 和 /etc/ld.so.preload 文件的不可更改属性。在 /tmp 下创建隐藏的目录 .perf.c 和 .xdia，这些可能是恶意脚本或工具的存放位置。通过 curl 下载一个文件（ordens.php）到 /tmp/httphxx。再通过 curl 将文件下载到 /tmp/httpd 目录中。最后执行。🔹 4.3 木马行为释放文件权限维持：a. 伪造自身为系统

应急响应 · 2025-08-26 · 56 人浏览

一次Windows的应急响应

发现天眼告警直接 tdesk 上机排查：1、木马情况：如果你用火绒处理掉这个，病毒还会再次启动，并且会在 C:\Windows\System32\ 目录下面挑选几个进程进行劫持外连：形如：sihost.exeRuntimeBroker.exetaskhostw.exe使用 ProcessExplorer 查了半天，没发现什么有用信息。通过对比正常电脑上面三个进程的线程，我感觉还是这个 dll 有点问题：ntdll.dll，但没什么证据，暂且不表。2、确认木马最初告警时间：7月22日早8点桌面有个异常快捷方式，一看，好家伙：C hrome（是的，有一个空格）。打开目标位置，和告警日期符合。再打开浏览器的下载页面，确认为仿冒的谷歌浏览器： https://xxxxx.com/file/ChromeCore_1344_6.1.7.6.exe?auth_key=xxxxx（没有可用的 auth_key 的话是下载不下来的）可以看到这里是木马大本营了。同时，也发现了 C:\Windows\System32\ 下面有很多恶意的 bat：打开一个，可以看到恶意内容：启

应急响应 · 2025-08-19 · 69 人浏览

钓鱼攻击防御指南：演练与实战技巧

一、自我介绍ID：易水哲 z3nbyte二、课程目录钓鱼的前期准备Gophish的基本使用钓鱼邮件的拟定钓鱼方式的多样化一些注意事项企业钓鱼真实案例分享三、钓鱼的前期准备1、域名核心思路：根据钓鱼目标场景，选择具有诱导性或混淆性的域名，提升点击率与伪装效果。（1）目标导向型注册根据攻击目标的使用场景注册相关域名，比如仿冒电商、银行、门户网站等：示例域名：taoba0.com（数字“0”替代字母“o”）icbc-pay.com（增加业务词“pay”）cctv.com.co（增加国家顶级域，伪装为子站）icbc.com.abc.com（多级子域名，伪造成正规结构）具体示例： https://www.blilbill.com/video/BV1Pm4y1s8dZ/（2）IDN 域名混淆与 Punycode 编码机制利用国际化域名（IDN）注册含有非拉丁字符的域名，可以伪造成与真实域名外观极度相似的变体。例如使用西里尔字母“о”替代拉丁字母“o”。示例说明：正常域名伪造域名说明google.comgооgle.com两个“o”用的是西里尔字母taobao.comtаоbао.com多个字母被

生命在于学习·网安 · 2025-06-30 · 1438 人浏览

2025年Solar应急响应公益月赛-5月

2025年Solar应急响应公益月赛-5月 WP by z3nbyte1、攻击者使用什么漏洞获取了服务器的配置文件？桌面上有360浏览器和o2server和CrushFTP，o2server日志没什么东西，看CrushFTP的这个看着很大，打开看看，发现关键点攻击者利用 CrushFTP 的 WebInterface 进行了恶意操作，特别是通过 XML 数据修改用户权限并访问敏感目录。攻击者 (user1@192.168.60.220) 通过 data_action:replace 修改了 user1 的权限配置：<root_dir>/</root_dir>  <item name="/">(read)(view)(resume)</item>  <item name="/C/">(read)(view)(resume)</item> 这使

生命在于学习 · 2025-06-16 · 35 人浏览

2025年Solar应急响应公益月赛-3月-部分WP

【签到】和黑客去 Battle 把！随便聊一聊就吐出密钥了，直接提交： flag{H7Q44S85842W6TQZPERS72ED} 窃密排查 - 1连接服务器，进入 /tmp，发现程序，攻击者使用了 megacmd 直接查找 mega 相关文件：find / -name "*mega*" -o -name "*MEGA*" 2>/dev/null查看 megacmdserver.log 日志，查找关键字：cat ~/.megaCmd/megacmdserver.log* 2>/dev/null | grep -i "login\|user\|flag"flag: flag{25solar3abc@habenwir.com}溯源排查 - 1下载下来是一个 raw 镜像，直接使用 WSL 挂载并修改 root 密码：sudo mkdir /mnt/rootfs sudo mount -o loop,offset=$((512 * 2048)) disk.raw /mnt/rootfs sudo chroot /

文章·生命在于学习·网安 · 2025-03-29 · 431 人浏览

《双影奇境》一次沉浸式的幻想之旅

前言双人成行已经很多年了，已经五刷了，这次制作团队的新游《双影奇境》一发布，我的好兄弟就喊我：上号上号~游戏体验1. 双重世界的设计相当巧妙游戏的核心机制——两个世界的切换——在玩法上确实带来了很多惊喜。有时候，两个世界间的细微差异会成为解谜的关键，让人不得不细心观察。而在战斗中，利用不同世界的特点进行战术切换，也提升了策略性。2. 探索乐趣十足地图设计上，《双影奇境》提供了丰富的探索内容。无论是主线任务还是支线剧情，都有不错的故事铺垫，不会显得枯燥。此外，隐藏要素和解谜部分的设计也很有意思，虽然有些谜题可能会让人卡住，但整体体验较为流畅，特别是纸绘风格那一关，真的让人amazing。3. 剧情与角色塑造尚可游戏的主线剧情属于慢热型，前期可能会感觉有些平淡，但随着游戏的深入，世界观的设定逐渐展开，角色间的互动也更加丰富。不过，一些支线任务的叙事稍显薄弱，部分角色塑造也略显单薄，可能不是每个玩家都会喜欢。4. 战斗系统表现很好即时战斗系统结合了技能连携、环境互动等要素，整体来说打击感不错，操作也较为流畅。5. 画面与音乐表现优秀画面方面，《双影奇境》采用了次世代技术，光影效果、场景细节表

生活·文章 · 2025-03-09 · 326 人浏览

PICO 4 Ultra使用记录

PICO 4 Ultra 体验分享一、介绍去年 12 月，我入手了第一款 VR 一体机——PICO 4 Ultra。PICO 4 Ultra 是 PICO 推出的一款 MR（混合现实）一体机，集成了强大的硬件配置和先进的软件生态。硬件配置PICO 4 Ultra 采用了高通骁龙® XR2 Gen 2 计算平台，相比上一代产品，计算性能提升显著。此外，它配备了：双目 3200 万像素彩色透视摄像头，提供高清透视体验；iToF 深度感知摄像头，增强空间识别能力；6DoF 交互系统，精准捕捉用户的动作，提升沉浸感。软件与生态在软件层面，PICO 4 Ultra 引入了全景屏工作台，支持用户在现实空间中打开多个虚拟大屏，大幅提升多任务处理的效率。此外，它还具备：全链路空间视频功能：支持拍摄、剪辑到播放的一站式体验；全球领先的 MR/VR 应用生态，涵盖影音娱乐、办公、生产力等多个领域；PICO 互联升级：支持 PC/Mac/手机无缝跨屏互联，实现远程操作和屏幕共享。PICO 4 Ultra 不仅是一款强大的 VR 设备，更是一个集娱乐、办公、生产力于一体的全能平台。二、PC 互联多屏

生命在于折腾·折腾 · 2025-02-18 · 1918 人浏览

Dream-Moments-Dify-微信聊天机器人

之前我使用了chatgpt-on-wechat的项目：https://github.com/zhayujie/chatgpt-on-wechat?tab=readme-ov-file 后来ichat被封掉了，又使用了dify-on-wechat的项目：https://github.com/hanfangyuan4396/dify-on-wechat 后来gewe不太行了，最近我换了wxauto：https://github.com/umaru-233/My-Dream-Moments/tree/WeChat-wxauto 但原作者只接入了硅基流动和deepseek官方的，并没有接入dify，情人节晚上我熬夜接入了dify，供自己使用，并且开源了一下，不是不想提PR，只是我改动了很多东西，不是很合适提pr，下面是一些简介：项目地址：https://github.com/yishuizhe/Dream-Moments-Dify Dream-Moments-Dify简体中文 · English My-Dream-Moments (集成 Dify 的增强版-易水哲)🚀 My-Dream-Mom

生命在于折腾·折腾 · 2025-02-18 · 1377 人浏览

Mac mini(M4) 上搭建渗透测试环境的全过程

在 Mac Mini 上搭建渗透测试环境前言最近我趁着国补换了台新设备，直接入手了一台 Mac Mini（M4）。虽然之前一直用 ROG，但考虑到 macOS 也有不少渗透测试工具可以用，索性试试看能不能搭建一套顺手的环境。这里就记录一下整个搭建过程，给以后自己参考，也顺便分享给有需要的人。1. 基本系统配置1.1 开发者模式与基础工具装好 macOS 后，第一步肯定是先搞定基础开发环境。# 安装 Xcode 命令行工具 xcode-select --install然后是 Homebrew，macOS 上必备的软件包管理器：/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"装好 Homebrew 之后，先更新一下：brew update && brew upgrade1.2 iTerm2 和 Oh My ZshmacOS 自带的 Terminal 也能用，但 iTerm2 体验更好，所以直接装：brew inst

生命在于折腾·网安 · 2025-02-12 · 2814 人浏览

关于CSDN账号注销的说明

如果有经常看我网站的朋友（大概没有）发现我的CSDN账号去年注销了，下面是注销时候的一些数据：注销的原因大家估计也能明白，这里面的数据大多是假数据，可以看看下面这些人机评论：甚至我也能发现其他博主提到过，曾经发出的免费文章竟然没CSDN设置成收费了。我感觉这样的环境不利于个人成长，也不利于圈内的朋友们相互交流学习，我发文章的目的仅仅是为了IT届尽一些微薄之力，因为在过去的生涯中，很多不经意地方的某一句话，解决了困扰我的问题。

说说·网安 · 2025-01-29 · 292 人浏览