2026-05-01
当EDR缺席,Windows能靠什么溯源?
突发 NDR告警,内网一台终端主机持续解析已知恶意域名。你登录上机,找到了木马进程,你想知道木马怎么进来的,用户到底做了什么。
2026-04-19
Linux IOC 扫描实践
恶意程序常通过无文件攻击、内存马、挖矿木马等方式驻留,关键特征可能存在于进程内存中,本文介绍三种轻量实现进程扫描。
2026-04-11
那个员工怎么就中了毒
某天下午,安全运营中心的告警又来了,一台内网办公电脑在持续解析一个银狐木马C2域名,且存在周期性外联行为。你记下了机器名和IP,拎起电脑包就去了楼上的研发部。
2026-03-21
谁在偷偷解析恶意域名?用 Sysmon 揪出背后的进程
没有 EDR,没有商业级 SIEM,主机上突然发现大量指向恶意域名的 DNS 请求,却不知是哪个程序发出的。这时候,你需要的不是慌张,而是一个免费、轻量的 Windows 系统监控神器—Sysmon。
2026-01-14
Windows事件ID汇总
基于Windows安全审计日志整理,用于安全监控、威胁检测和事件响应
2026-01-13
WG-Win-Check 轻量应急辅助工具
一款基于原生 Win32 API 实现的轻量级的 Windows 应急响应辅助工具,以轻量便捷的特性,通过多维度的系统常规排查,能够有效帮助安全人员快速识别安全风险。
2025-12-28
无境-应急靶场题解
针对无境-应急响应专题靶场的部分题解
2025-12-04
Splunk应急场景快速了解与使用
Splunk 是一款强大的机器数据分析平台,被誉为"数据界的谷歌"。在安全领域,Splunk 是安全运营中心(SOC)的核心平台,帮助企业实现安全监控、威胁检测和事件响应。
2025-11-09
记一次攻击队溯源经历
一次扣分,溯源到攻击队信息的经历。攻击队,天塌了!
2025-08-04
浅谈Windows两种文件隐藏方式
Windows系统提供了多种文件隐藏方式,其中普通文件隐藏和受保护的系统系统文件隐藏是最常见和易于实现的方式....