GitHub关键字扫描开源工具推荐

转载自FreeBuf.COM

前言

网络上多次爆出的GitHub泄露企业敏感信息事件,说明企业安全中GitHub关键字扫描是很关键及重要的安全基础建设,我用了一些事件针对不同类型的GitHub扫描开源产品作了一些测试调研,与君分享。

一、GitHub搜索接口

github给出了在代码找中搜索关键字的API,并且定义默认只搜索主分支代码,也就是master这个分支,只有小于384KB的文件才能被搜索。

在官方举例中:

https://api.github.com/search/code?q=addClass+in:file+language:js+repo:jquery/jque[......]

[阅读全部]

服务器入侵溯源小技巧整理

*本文原创作者:和蔼的杨小二

前记

最近某司网站主页被篡改了,找师傅帮忙看看怎么回事,师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后,又找师傅问了问关于溯源的技巧经验,于是就有了这篇小结。

溯源的思路

看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。

下手的几个点

网站源码分析

日志分析

系统存储的信息分析

分析进程端口

网站源码文件分析

分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

1. 查杀[……]

[阅读全部]

Memtriage:一款Windows内存取证工具

memtriage是一款Windows内存取证工具。该工具使用Winpmem来抓取内存dump,并使用Volatility进行分析。

注意事项:

当启用Device Guard时,该工具将无法正常工作;

应该在部署之前在机器上进行测试

Volatility 插件

以下是当前所支持的插件:

pslist

dlllist

ldrmodules

modules

handles

malfind

driverirp

psxview

privs

svcscan

getsids

vadinfo

netscan[……]

[阅读全部]

闲聊Windows系统日志

* 本文作者:TomKing

前言

最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着头脑,所以就认真的分析了evtx格式的系统日志。这篇文章可能记录的不是很全面,师傅们多多指教。

Windows系统日志简介

Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器[……]

[阅读全部]

QQ截图+搜狗OCR+百度OCR+有道OCR+翻译

吾爱破解上看到的, 转过来, 使用很方便, 而且还支持直接翻译, 不错.

实测OCR效果最好的还是搜狗的OCR最棒, 各种文字, 识别准确度最高.

截图OCR后自动翻译  演示:

快捷翻译    演示:

下载地址: 链接: https://pan.baidu.com/s/1fhiw3wLEVO0Cc7PnUtLDMA 密码: ecwg

词频分析工具

在分析案件数据时, 经常遇到大量的文本内容, 有时候就想快速的找到某个文本中的大概意思或核心内容, 于是就在网上找了下词频分析的东西, 但没发现好用的, 倒是找到了几个免费提供服务的网页, 于是做了个客户端, 方便使用.

使用说明: 直接输入或粘贴要分析的文字, 然后点开始分析.

注意事项: 

1. 由于是使用第三方在线分析平台作为内核, 因此要联网后才能使用.

2. 仅供学习研究使用, 切勿用于非法用途. 

下载地址: 链接: https://pan.baidu.com/s/16hv0SCpBXA0xx72RRPBgnA 提取码: c8di

解压缩[……]

[阅读全部]

SUpraudit:一款MacOS上的日志审计工具

背景

你可能对BSM审计有所了解,也可能完全没有听说过。这是Solaris OS遗留下来的产物,它存在于FreeBSD,Linux,当然还包括MacOS上。在我的*OS Internals::Security & Insecurity的第二章中有审计的详细介绍。虽然它没有MAC框架那样强大(并且无法进行推理,只能对操作做出反应),但也不像其他框架将简单的现场监控与纯用户模式的优点相结合。内核仍然非常复杂,但是你不能也不应该修改它的默认审计逻辑。

值得注意的是,praudit(1),它用于打印来自/var/audit和/dev/auditpipe中的文件的审计记录,这是一个非常可[……]

[阅读全部]

CTF电子取证(Forensics)类赛题学习笔记(一)——文件格式判断

这种踏实的学习态度才对,记得原来认识一个自称搞取证的,而且还是海外留学硕士毕业,但其实连文件头都看不懂,实在无语。。。

前言

笔者的基友们参加了第二届“强网杯”,并且拿到了总决赛的入场券。受他们的影响,笔者也开始关注并学习CTF的相关知识。

搜罗了一下网上关于CTF入门的相关资料,大家都说从取证题开始入手比较合适,因为简单又有趣。“听人劝,吃饱饭”,就从取证题开始学起吧!

0×01 Forensics?MISC?

笔者查阅了国内外近几年的CTF比赛,发现国内比赛使用“MISC”较多,并且将Forenics包含在了MISC里面;而国外则使用“Forensics”较多。目前,电子取证[……]

[阅读全部]

微信aud格式播放工具

微信语音存储为aud格式,这个格式很多播放器都不支持,在网上查了一下,发现就是amr格式的修改版,所以写了个工具用来转换,原理很简单,就是将aud格式转换为amr格式再调用本地播放器来播放。

使用说明:直接将aud格式拖放到程序主界面就可以了。

注意事项:

1、如果你本地连播放amr格式的播放器都没有,那么即时转换了,也播放不了,所以建议还是安装好amr的播放器,比如完美解码之类的。

2、如果播放过程中,再拖入其他文件,可能会发生错误,因为原文件还在占用中呢,我没做容错处理,所以一定要关闭播放器,再拖入下一个文件。

下载地址:链接: https://pan[……]

[阅读全部]

快速自检电脑是否被黑客入侵过(Linux版)

前言

严谨地说, Linux只是一个内核, GNU Linux才算完整的操作系统, 但在本文里还是用通俗的叫法, 把Ubuntu,Debian,RedHat,CentOS,ArchLinux等发行版都统称为Linux. 本文里所说的方法不仅对Linux的发行版适用, 部分方法对Mac OSX操作系统也是适用的.

异常的帐号和权限

如果黑客曾经获得过命令运行的机会, 对方往往会想要将这个机会持续下去, 业内称之为持久化(persistence). 而创建后门帐号, 往往是一个持久化的途径.

检查异常帐号

搜寻用户

cat /etc/passwd可以看到当前系统中的所有用户和对应的[……]

[阅读全部]