存档

‘电子取证’ 分类的存档

在线攻击的幕后场景:对利用Web漏洞行为的分析

2015年4月28日 没有评论

原文:http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web

翻译:赵阳

摘要:现如今Web攻击已经成为了互联网安全的一个主要威胁,人们对它进行了很多研究,特别详细地分析了攻击是如何进行,如何传播的。但是,对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站,从而可以提供多种不同服务,目的就是要吸引攻击者,采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中,我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件,并把攻击者的攻击路线标记成了不同类别,以区分它们在每次利用Web应用漏洞过程中的行为。

一、引言

Web攻击是对人们经济和知识财产造成破坏的主要原因之一。去年,这种攻击的数量不断在增长,复杂程度也在增加,并且目标多是政府和高利润的公司,窃取个人信息的同时造成了数百万欧元的经济损失。使用台式机、笔记本和智能手机上网的人数的不断增加,这就有了很吸引人的攻击目标,从而使他们走上了犯罪的道路。

这种趋势也已经成为了学术研究之一。事实上,快速的看下前些年发表的论文,会发现与Web攻击和防守相关的文章很多。这些研究大多数关注于一些普通的与Web应用、Web服务器或是浏览器相关的漏洞,通过这些漏洞来拿下目标。其余的剖析了针对内部构件的特殊攻击活动[5,13,17][……]

阅读全文

CTF领域指南

2015年2月15日 没有评论

原文:https://trailofbits.github.io/ctf/

翻译:做个好人

译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。

“Knowing is not enough; we must apply. Willing is not enough; we must do.” (仅仅知道还不够,我们必须付诸实践。仅有意愿还不够,我们必须付诸行动。)

—— Johann Wolfgang von Goethe

欢迎!

很高兴你能来到这里,我们需要更多的像你这样的人。

如果你想拥有一种能够自我防卫的生活,那就必须像攻击者那样思考。

所以,学学如何在夺旗比赛(CTF)中赢得比赛吧,这种比赛将专业的计算机安全活动规则进行了浓缩,且具有可客观评判的挑战题。CTF比赛趋向关注的主要领域是漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术(tradecraft)。

无论你想赢得CTF比赛,还是想成为一名计算机安全专家,都至少需要擅长这些方面中的其中之一,理想情况下需要擅长所有这些领域。

这就是我们编写此手册的目的。

在这些章节中,你[……]

阅读全文

电子取证之Linux PCI分析

2014年5月28日 没有评论

原创:4ll3n

上篇文章为大家讲解了在Linux ext4分区下如何恢复误删除文件的整个过程,每次坐在电脑前,把手机和电脑通过USB接口进行连接,为手机充电。总在想一个问题:“手机和电脑连接后,系统又做了点什么?”这就是整篇文章开始的源泉。

现在让我们走进系统,看看它的运行原理:

linux pci 01

终端命令lsusb,分别列举了挂载设备的Bus、Device、ID、Name,什么是ID呢?设备的ID由Vendor、ProdID组成。

linux pci 02

设备每次的挂在ID值在主机上是个唯一的指纹,这组数据在Command下如何获取呢?可以使用usb-devices获取所有在主机上以USB接口为主的所有参数。

Command给出的参数列表来自于:

linux pci 03

图中给出了大量文本文件和对应的目录名,来验证下,数据是否正确:

linux pci 04

看到图片有五个编号以1-8开头,以1.x结尾的文件目录,它们对应的是什么呢?

linux pci 05

1-8:1.0对应这If#=0,依此类推,而如何获取图片中的Name?

linux pci 06

进入目录后,可以发现其中有个名为:interface,对进行cat,就能得到上图中的接口名。

 

讲到这里,我们还有没结束,继续往深处挖掘,看看它们其他的关联文件。

linux pci 07

在/run/udev/links下,找到了系[……]

阅读全文

浅谈linux系统数据恢复

2014年5月9日 没有评论

原创:4ll3n

程序员的误操作造成数据丢失,忙着一个星期的项目,就这样付之东流了。老板的痛斥、经理的训斥接踵而来。接下来就是没休息、加班,甚至忙到凌晨都不能离开那该死的电脑,都有种想屎的感觉呢?

为那些不喜欢备份数据的朋友带来了福音,我们来谈谈数据恢复,这里我们来手把手地教会你如何利用简单的工具来恢复被你删除的数据。

工具: hexedit、fdisk

下文内容操作均在root环境下完成。

hexedit:

data recovery 01

在linux上,经常会使用hexedit来修改程序的16进制代码。而fdisk这里就不介绍了。

现在我们走进磁盘的世界,看看磁盘它对数据做点了什么吧。

首先,在终端下使用root权限,来运行下命令:

Command: fdisk -l

data recovery 02

/dev/sdb1是今天的主角,从图片很清晰地看到一些相关数据,比如磁盘的size,、sector、I/O size等等。

data recovery 03

磁盘格式为ext4,而非MS上的vfat32和NTFS格式,在文章的结尾贴上FAT32的图片。

第一步:

运行fdisk,使用专家模式,来备份Partition table。

data recovery 04

ext4的partition table非常简单,一般备份partition table为ext4.img。备份是为了避免数据恢复中被破坏。

[……]

阅读全文

分类: 电子取证 标签: ,

渗透测试中的冷却启动攻击和其他取证技术

2014年1月11日 没有评论

原文:http://www.ethicalhacker.net/features/root/using-cold-boot-attacks-forensic-techniques-penetration-tests?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+eh-net+%28The+Ethical+Hacker+Network+-+Online+Magazine%29

翻译:成明遥

frozen_ram

这是一个星期四的晚上,快乐时光即将开始。你会尽快走出办公室。你整天都忙于准备一份报告,第二天早上还需继续,因此你将电脑锁屏。这足够安全,是吗?因为你使用了高强度密码,并全盘加密,Ophcrack或者可引导的linux发行版例如kali不起作用。你自认为安全了,其实你错了。为了得到重要材料,攻击者越来越无所不用其极,这包括使用取证领域的最新技术。

计算机中存在一个单独的区块:活动内存,任何一个攻击者都愿意把手伸到这个存储有敏感信息完全未加密的区块。系统为了方便调用,在内存中存储了多种有价值信息;全盘加密机制也必须在内存的某个地方存储密钥。同样,Wi-fi密钥也是如此存储的。Windows在内存中存有注册表键值,系统和SAM hive。许多剪贴板内容和应用程序密码也在存储于内存中。即问题在于,内存存储了系统在某时刻需要的大量有价值信息。攻击者要获得它,需要使用一些同样的取证技术。本文有助于向渗透测试工具包中增加这些技术。

[……]

阅读全文

Hacking之乐——揭秘带WIFI的SD卡

2013年11月7日 没有评论

原文:http://haxit.blogspot.com/2013/08/hacking-transcend-wifi-sd-cards.html

翻译:赵阳

我最近很高兴拥有了一个Transcend WiFi SD card,它可以让我在几秒钟内将数码单反相机(索尼NEX,相当便携)中拍摄的照片传到任何拥有wifi功能的设备上。由于我很喜欢在旅途中拍摄和分享图片,所以用SD卡如果可以无线上传照片到我的手机上,似乎是一个很好的解决方案。而实际上它就是一个很棒的解决方案!(以后也会是)。移动应用程序可以……不,应该加以改进一点(为什么要渲染下载的7MB图像时,只能再次点击“下载”?),但是,嘿,它能够完成任务!

我立刻被事实惊呆了,这个小设备在这样一点点的空间内不仅可以存储16GB(甚至还有32GB版本),且它还是一个嵌入式系统,完全有能力运行应用程序,包括网页服务,和其他wifi覆盖下的设备进行交互,甚至为其自己的无线网络进行供电。好了,废话说够了,进入主题:我们能不能用这个设备做一些设备设计中本没有想到的功能呢?

写这篇文章的目的不但是为了让你们root(越狱)设备,也是想在过程中发现和利用漏洞,其中的一些方法可能会是一条死胡同,但其他的或许会给你带来惊喜。

准备Hax

我从一开始怀疑该卡中存在着某种形式的嵌入式Linux系统。如果是这样,扩展它的功能会很容易,但是,首先我需要了解这个系统。到现[……]

阅读全文