Submit Search
Upload
Windows Hacker的餅乾屑
•
Download as PPTX, PDF
•
0 likes
•
1,368 views
Jhang Raymond
Follow
駭客經過都會有一些線索,讓我們一起來盤點有那些痕跡吧
Read less
Read more
Technology
Report
Share
Report
Share
1 of 40
Download now
Recommended
從AlphaGo的設計淺談資安領域的異常分析流程
從AlphaGo的設計淺談資安領域的異常分析流程
Jhang Raymond
A Concept of Network Analysis Tool by Data Mining
A Concept of Network Analysis Tool by Data Mining
Jhang Raymond
基于大数据的Web攻击溯源
基于大数据的Web攻击溯源
正炎 高
資訊安全入門
資訊安全入門
Tyler Chen
7.唯品会安全建设与风控杂谈
7.唯品会安全建设与风控杂谈
Hsiao Tim
資安_勒索軟體_0413
資安_勒索軟體_0413
Chien-ming Chen
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
Lucas Ko
社團法人高雄市社區大學促進會資訊專員林鑫佑的分享(7/27)
社團法人高雄市社區大學促進會資訊專員林鑫佑的分享(7/27)
開拓文教基金會
Recommended
從AlphaGo的設計淺談資安領域的異常分析流程
從AlphaGo的設計淺談資安領域的異常分析流程
Jhang Raymond
A Concept of Network Analysis Tool by Data Mining
A Concept of Network Analysis Tool by Data Mining
Jhang Raymond
基于大数据的Web攻击溯源
基于大数据的Web攻击溯源
正炎 高
資訊安全入門
資訊安全入門
Tyler Chen
7.唯品会安全建设与风控杂谈
7.唯品会安全建设与风控杂谈
Hsiao Tim
資安_勒索軟體_0413
資安_勒索軟體_0413
Chien-ming Chen
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
Lucas Ko
社團法人高雄市社區大學促進會資訊專員林鑫佑的分享(7/27)
社團法人高雄市社區大學促進會資訊專員林鑫佑的分享(7/27)
開拓文教基金會
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir Lab
HITCON TALK 產業視野下的 InfoSec
HITCON TALK 產業視野下的 InfoSec
Hacks in Taiwan (HITCON)
CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短
CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短
HITCON GIRLS
Become A Security Master
Become A Security Master
Chong-Kuan Chen
資訊安全入門
資訊安全入門
Tyler Chen
資訊安全基本素養教育訓練
資訊安全基本素養教育訓練
睦勻 巴
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議
Net Tuesday Taiwan
20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案
R.O.C.Executive Yuan
20200810_資訊洩漏所帶來的資安問題_turkey
20200810_資訊洩漏所帶來的資安問題_turkey
HITCON GIRLS
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
Wanhung Chou
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS
Brochure ahn lab-soc
Brochure ahn lab-soc
ahnlabchina
【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack
Hacks in Taiwan (HITCON)
Chinese hackers how to presentation投影片 1網路安全
Chinese hackers how to presentation投影片 1網路安全
Bill Hagestad II
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
Shang Wei Li
20210928 #118 - 給非營利組織的資安自保手冊
20210928 #118 - 給非營利組織的資安自保手冊
Net Tuesday Taiwan
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
Tzu-Ting(Fei) Lin
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
CCLSAHCe-Chinesehandy (1)
CCLSAHCe-Chinesehandy (1)
Ting^_^Cindy ^_^ Qiu
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
REPORT
REPORT
GODLIN
More Related Content
What's hot
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir Lab
HITCON TALK 產業視野下的 InfoSec
HITCON TALK 產業視野下的 InfoSec
Hacks in Taiwan (HITCON)
CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短
CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短
HITCON GIRLS
Become A Security Master
Become A Security Master
Chong-Kuan Chen
資訊安全入門
資訊安全入門
Tyler Chen
資訊安全基本素養教育訓練
資訊安全基本素養教育訓練
睦勻 巴
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議
Net Tuesday Taiwan
20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案
R.O.C.Executive Yuan
20200810_資訊洩漏所帶來的資安問題_turkey
20200810_資訊洩漏所帶來的資安問題_turkey
HITCON GIRLS
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
Wanhung Chou
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS
Brochure ahn lab-soc
Brochure ahn lab-soc
ahnlabchina
【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack
Hacks in Taiwan (HITCON)
Chinese hackers how to presentation投影片 1網路安全
Chinese hackers how to presentation投影片 1網路安全
Bill Hagestad II
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
Shang Wei Li
20210928 #118 - 給非營利組織的資安自保手冊
20210928 #118 - 給非營利組織的資安自保手冊
Net Tuesday Taiwan
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
Tzu-Ting(Fei) Lin
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
CCLSAHCe-Chinesehandy (1)
CCLSAHCe-Chinesehandy (1)
Ting^_^Cindy ^_^ Qiu
What's hot
(20)
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
HITCON TALK 產業視野下的 InfoSec
HITCON TALK 產業視野下的 InfoSec
CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短
CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短
Become A Security Master
Become A Security Master
資訊安全入門
資訊安全入門
資訊安全基本素養教育訓練
資訊安全基本素養教育訓練
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議
20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案
20200810_資訊洩漏所帶來的資安問題_turkey
20200810_資訊洩漏所帶來的資安問題_turkey
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
Brochure ahn lab-soc
Brochure ahn lab-soc
【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack
Chinese hackers how to presentation投影片 1網路安全
Chinese hackers how to presentation投影片 1網路安全
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
20210928 #118 - 給非營利組織的資安自保手冊
20210928 #118 - 給非營利組織的資安自保手冊
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
CCLSAHCe-Chinesehandy (1)
CCLSAHCe-Chinesehandy (1)
Similar to Windows Hacker的餅乾屑
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
REPORT
REPORT
GODLIN
新增Microsoft Power Point 簡報
新增Microsoft Power Point 簡報
guesta64707
新增Microsoft Power Point 簡報
新增Microsoft Power Point 簡報
guesta64707
08
08
chanlung wu
網路安全防護
網路安全防護
Hsuan-Chih Wang
資策會 新生茶會
資策會 新生茶會
Jyny Chen
電腦安全
電腦安全
kobe
新增Microsoft Power Point 簡報
新增Microsoft Power Point 簡報
guest943afa
互联网公司web安全挑战与防护思路浅谈
互联网公司web安全挑战与防护思路浅谈
zhiyanhui
虎尾科大報告
虎尾科大報告
琮凱 蘇
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
Julia Yu-Chin Cheng
電腦病毒與防治
電腦病毒與防治
Andy Juang
Ict network security
Ict network security
Gary Tsang
2009通信安全峰会(11月6日)
2009通信安全峰会(11月6日)
Jordan Pan
安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
ahnlabchina
安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
ahnlabchina
Mitm
Mitm
TONY KUO
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
Wales Chen
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
ChungSC_tw
Similar to Windows Hacker的餅乾屑
(20)
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
REPORT
REPORT
新增Microsoft Power Point 簡報
新增Microsoft Power Point 簡報
新增Microsoft Power Point 簡報
新增Microsoft Power Point 簡報
08
08
網路安全防護
網路安全防護
資策會 新生茶會
資策會 新生茶會
電腦安全
電腦安全
新增Microsoft Power Point 簡報
新增Microsoft Power Point 簡報
互联网公司web安全挑战与防护思路浅谈
互联网公司web安全挑战与防护思路浅谈
虎尾科大報告
虎尾科大報告
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
電腦病毒與防治
電腦病毒與防治
Ict network security
Ict network security
2009通信安全峰会(11月6日)
2009通信安全峰会(11月6日)
安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
Mitm
Mitm
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
Windows Hacker的餅乾屑
1.
Windows Hacker的餅乾屑 Raymond
2.
• Raymond – 平常維護個人網站systw.net
(牛的大腦) – 管理過整個學校的系統與網路 – 開發過一些和資料分析有關的系統 – 曾參與過資安事件調查、資安健診、 DDoS演練等 – 當過兼任講師與資安教育訓練講師 – 興趣是網路安全,系統開發,異常偵測 2
3.
3 正所謂 吃燒餅那有不掉芝麻 吃餅乾那有不掉屑
4.
4 所以反走過必留下痕跡 windows駭客入侵後, 擔心精心策劃的手法不會被世人發現, 所以留下一些線索
5.
5 客戶說: 我都有這麼多資安機制幫忙防禦了, 痕跡很重要嗎?
6.
6 我個人的看法是 當駭客繞過資安機制時, 這些資安防禦設備就形同虛設
7.
7 那到底 駭客有沒有辦法繞過這些資安機制? 我想大家心理都很清楚
8.
8 一但駭客繞過這些防禦機制, 唯一能用的, 就只剩這些痕跡
9.
9 當看到這些痕跡, 我們就要有 己被入侵的心理準備
10.
10 以下盤點幾個駭客常留下來的痕跡
11.
11 工具忘了帶走
12.
12 psexec.exe nc.exe 駭客將武器大喇喇的放在受害電腦上,一定也是好意想提醒使用者好好學習這些工具
13.
13 太短
14.
14 a.bat 1.bat n.exe p.exe d.Vbs … 大部份的駭客似乎都惜字如金,如果你周圍有朋友也是這樣的人,別得罪他,他可能也是駭客
15.
15 名稱亂打
16.
16 grjufvxi.dll cfwxfce.exe … 為了避免固定檔名容易變成特徵,很多駭客的惡意程式會利用隨機檔名的技術
17.
17 走錯位置
18.
18 jusched.exe出現在temp svchost.exe出現在programdata 駭客知道我們搞不清楚真正的執行檔應該在那,所以使用這招來混淆我們的視聽, 老實說,這招真的可以騙過大部份的資訊從業人員
19.
19 該有爸爸的沒爸爸
20.
20 svchost無父程序 駭客為了不想讓攻擊的源頭曝光,所以把父行程幹掉,讓追查線索中斷. 有些程序一定有父行程,如果消失了真的滿奇怪的
21.
21 參數異常
22.
22 svchost.exe後面不是帶-k的參數 有些process執行時會讓程式固定帶特別的參數, 駭客應該是想和我們玩大家來找碴,故意準備一個異常參數的process,看我們能不能發現
23.
23 被建排程
24.
24 曾經被建過at1排程 或at2,at3,at3,.... 這大概是駭客有史以來最大的餅乾屑, 如果管理者確定這些排程不是自己人建的, 我只能和管理者說,恭喜你被入侵囉
25.
25 記錄被清除
26.
26我只能說,駭客的細心值得肯定,但這樣駭客不就等於召告天下到此一遊嗎
27.
27 還在實驗中
28.
28 反覆建立帳號 反覆刪除帳號 雖然很少見,但我猜大概剛建的帳號無法登入或權限太弱,所以還在測試中
29.
29 user執行怪怪的東西
30.
30 4688記錄顯示: user執行過scr user執行過psexec scr是利用反轉字元的攻擊手法,如果有人執行scr,就代表他己經執行了某支惡意的exe. psexec更不用說,如果有人非法執行,那大概就是在做內網入侵了.
31.
31 執行順序不對
32.
32 統計4688記錄顯示: 原本是a-> b 但出現a-> c
->b 每個process的父行程與要呼叫的下一個process, 正常來說每天的順序都會是一樣的. 如果那天發現順序不對,而且數量又極少,那恐佈的事情應該己經發生了
33.
33 一次搞太多
34.
34 統計4648的記錄顯示: 帳號1天內嘗試登入多台主機 正常情況下,電腦不會去連另一台電腦,更何況突然嘗試想連進一堆電腦. 如果有發現某個帳號突然有這樣的行為,基本上也是淪陷了
35.
35 處理程序名稱異常
36.
36 統計4624的記錄顯示: 處理程序名稱出現32.dll, 而且只出現1次 大部份4624記錄的處理程序名稱會反覆出現很多次,表示這是日常作業中會用到的.如果 那天發現多了一個新的名稱,而且也只出現1,2次,建議可以調查一下這個程序從那來的
37.
37 如果你的電腦發現這些寶貴的痕跡 記得說
38.
38 感謝駭客的大恩大德 因為遇到好駭客給你線索做事件調查
39.
39 除了上述這些 駭客其實還留下很多痕跡, 等著我們發現
40.
40 你還有發現什麼駭客的痕跡嗎? 歡迎一起分享
Download now