分类目录应急响应

在Windows注册表基础中已经介绍了注册表的详细信息，本文主要对注册表进行取证实践，制作系统镜像导出注册表副本。

阅读更多

Windows 注册表是存储 Windows 操作系统中的配置设置和选项的数据库。它包含有关用户首选项、系统设置、已安装的应用程序、设备驱动程序等的信息。Windows 注册表取证通过检查 Windows 注册表以获取有关 Windows 操作系统上的活动和用户行为的有价值的信息。提供了恶意软件活动、用户操作、系统更改等的重要线索。

RITA（Real Intelligence Threat Analytics）是一款用于网络安全分析和威胁检测的开源工具。它收集、解析和分析网络流量数据，提供对网络活动的洞察，并允许安全专业人员检测和应对安全事件。RITA 提供实时警报，并允许用户执行网络取证和事件响应任务。

该框架以 TSV 格式接收 Zeek Logs，目前支持以下主要功能：

• 信标检测 ：搜索网络内外信标行为的迹象。
• DNS 隧道检测 ：搜索基于 DNS 的隐蔽通道的迹象。
• 黑名单检查 ：查询黑名单以搜索可疑域和主机。
• URL 长度分析 ：搜索表明恶意软件的过长 URL。
• 扫描检测 ：搜索网络中端口扫描的迹象。

阅读更多

被rm -rf / 支配的恐惧，应该是每个人的噩梦。但云上遇到系统全盘删除的问题，处理会容易很多。本文以腾讯云为例，记录应急流程。

为什么SSD硬盘无法恢复数据？

经测试使用SSD硬盘执行rm -rf / 后是无法恢复数据的，如果是使用SSD硬盘就不要对数据恢复抱有太大的希望了。

应急响应过程中，经常会遇到黑客删文件的情况。比如上面这种黑客执行 echo > /root/.bash_history 的方式来删除文件，如果没有事先部署主机安全agent做命令审计，这种情况基本都无解。

但通过魔改debugfs的源码，解决了这一类痛点。

某内网k8s集群主机安全告警存在ssh爆破成功的记录，上机排查发现该主机存在长达几个月的异常ssh登录，每天固定凌晨0点-4点出现ssh登录记录，并且同一个ip的ssh登录失败和成功的记录交叉出现。

初步判定这是一起非入侵导致的应急事件，但是该如何定位k8s容器出现异常ssh登录的原因呢？