密码保护：某APT组织溯源记录

由于k8s涉及到的概念非常多，理解起来可能非常费劲，这里用一座城市的故事，类比讲解 K8s架构，通俗易懂 。

└─# vol -f sample.mem linux.pstree.PsTree
Volatility 3 Framework 2.11.0
Progress:  100.00               Stacking attempts finished                 
Unsatisfied requirement plugins.PsTree.kernel.layer_name: 
Unsatisfied requirement plugins.PsTree.kernel.symbol_table_name: 

A translation layer requirement was not fulfilled.  Please verify that:
        A file was provided to create this layer (by -f, --single-location or by config)
        The file exists and is readable
        The file is a valid memory image and was acquired cleanly

A symbol table requirement was not fulfilled.  Please verify that:
        The associated translation layer requirement was fulfilled
        You have the correct symbol file for the requirement
        The symbol file is under the correct directory or zip file
        The symbol file is named appropriately or contains the correct banner

Unable to validate the plugin requirements: ['plugins.PsTree.kernel.layer_name', 'plugins.PsTree.kernel.symbol_table_name']

vol3分析Linux内存通常都会遇到上面的报错，就是缺少对应的系统符号表。但网上介绍Volatility3的文章大部分都是都把工具的命令行翻译成中文，当真的去实操vol分析内存时会发现有太多的坑，因为分析内存是需要当前系统的符号表。

vol3自带的Linux符号表非常少，而Linux的kernel版本又非常众多，大多数情况都需要在对应的机器上手动导出符号表才能开始分析内存。

整理应急响应中经常会用到的Audit审计命令，方便排查使用。

esxi配置旁路由过程记录。

阅读更多

在Linux应急响应中，bash脚本是提升排查响应效率非常重要的一环。这篇内容将深入掌握 Bash 脚本的进阶知识，特别是在应急事件处理中的实际应用。

rsync是一个高效的数据同步工具，但是使用rsync本身只支持ssh和rsync这两种传输协议。我最近遇到了一种场景是从境外的服务器上同步到国内的NAS上。直接传输很容易被GFW阻断掉，但是rsync本身不支持tls加密。

最终通过 trojan + rsync 实现伪装tls流量远程同步文件。