事由翻看以前的文件夹突然看到mimikatz，突然想到之前遇到过一个挖矿的传染病毒，python2.7写的，几千行太多了，当时就懒得仔细看，毕竟都是源代码。好像里面有这个模块，就随便写了写，mimikatz主要也是用于内网渗透，密码收集的吧 mimikatz简介mimikatz是法国人Benjamin Delpy编写的一款轻量级的调试工具，在内网渗透过程中，它多数时候是作为一款抓取用户口令的工

PE文件数字签名及验证过程签名： 软件发布者使用散列算法（如MD5或SHA）计算PE文件的散列值。 软件发布者使用私钥对散列值进行签名得到签名数据。 将签名私钥对应的公钥和签名数据等以证书的形式附加在PE文件之中，形成经过数字签名的PE文件。 软件发布者将经过数字签名的PE文件进行发布。 验证： 从PE文件证书中提取软件发布者的公钥、使用的散列算法、签名算法、原始散列值的签名数据。 使用提取

今天发现Emotet出现了新的攻击方式 第一次接触Emotet是采用的常见的Office宏病毒，然后升级到后来的宏4.0，现在又出现了新的攻击方式——利用LInk文件进行攻击。 搜集到的样本包括Link文件生成VBS和PowerShell两种，以生成VBS文件为例。 文件名：Datos-2504.lnk MD5: 95e0286c6c38320d9673b6492f9e2284 1C:\Win

一、样本信息恶意文件为excel表格文件，文件名为“000000.xlsm”，MD5值为e566fc53051035e1e6fd0ed1823de0f9。详情如下表： 文件名 000000.xlsm MD5 e566fc53051035e1e6fd0ed1823de0f9 SHA256 8e574b4ae6502230c0829e2319a6c146aebd51b7008bf5bb

VBEVBE是编译后（加密）的VBS代码。 加密工具有很多，其中常用的是Microsoft Script Encoder(screnc.exe),此外还有许多。 可以利用Microsoft Script Encoder进行解码，但是微软官网已经下架了相关下载链接。 推荐使用国外大神写的解码工具 https://www.interclasse.com/scripts/decovbe.php CMD执

一、样本信息 文件名 beifen.bak MD5 EEAD5424C1738BD5061CF2455CEB45B7 SHA256 8fe4f4b4f7ea39f63465d1eff48a1079cbf0846fa27c00b45b596e898ae927b3 文件大小 151,440 字节 病毒类型 Backdoor:Win32/Wonbaful.A 经初步分

比较流行的三款后渗透工具： Cobalt Strike Metasploit (图形化：Armitage) Empire Cobalt Strike简介Cobalt Strike是一款由Java编写的全平台多方协同渗透测试框架，在3.0版本之前它基于Metasploit框架工作，相当于增强版的Armitage，在3.0后的版本已独立成一个为目标攻击和模拟对抗而设计的渗透测试平台，主要用

三种邮件协议SMTP即“Simple Mail Transfer Protocol”，简单邮件传输协议。它是用于从源地址到目标地址传输邮件的规范。通过该协议来控制邮件的中转。而我们常用的邮件供应商所提供的邮件服务，基本都是采用的SMTP协议进行传输。要注意的是SMTP协议并没有要求了客户端连接服务器需要进行认证，而ESMTP （Extended SMTP）会要求用户提供用户名和密码以便验证身份。但

碰见一个厂商的沙箱设备直接拿来cuckoo的web界面，明目张胆啊 虽然国内很多厂商的沙箱都是基于开源的cuckoo进行二次开发的 去年（21年）4月Cuckoo Sandbox 2.x已经不维护了，确实都这么多年了，各种包也老了，至今都不支持python3。说是要完全重写，也不知道要等到什么时候。 重温一下搭建过程吧 参考https://github.com/cuckoosandbox/cuck

样本信息3月14日，研究人员在针对乌克兰组织的攻击中观察到新的数据擦除恶意软件CaddyWiper，这种恶意软件会从连接的驱动器中删除用户数据和分区信息，目前已在少数组织的几十个系统上观察到了该恶意软件。该恶意软件是通过组策略对象( GPO )部署的，这表明攻击者事先已经控制了目标的网络。这是自 2022 年初以来在乌克兰攻击中部署的第四种数据擦除恶意软件。对此次新出现的“CaddyWiper”恶