开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

大型机潜在恶意文件取证调查

是指在大型机系统中，对可能存在的恶意文件进行调查和取证的过程。恶意文件指的是具有恶意目的的软件或文件，可能包含病毒、木马、恶意脚本等恶意代码。

大型机潜在恶意文件取证调查的目的是通过分析潜在的恶意文件，了解其特征、行为以及对系统的威胁程度，以便采取相应的安全措施。这个过程通常包括以下步骤：

收集证据：收集潜在恶意文件相关的日志、系统快照、文件元数据等信息，以便后续分析和取证。
分析恶意文件：使用专业的安全工具对潜在恶意文件进行静态和动态分析，获取其特征、行为和影响范围等信息。
取证和溯源：通过分析潜在恶意文件的特征和行为，尝试追溯其来源、传播途径和受影响的系统范围，以获取更多的线索。
确认威胁程度：基于对恶意文件的分析和取证结果，评估其对系统的威胁程度，并根据评估结果确定后续的应对措施。

在大型机系统中进行潜在恶意文件取证调查时，可以利用腾讯云的一些相关产品和服务来支持工作的进行。以下是几个相关的推荐产品和链接：

云安全中心（https://cloud.tencent.com/product/safeguard）：腾讯云的安全中心提供了全面的安全服务，包括威胁情报分析、漏洞扫描、事件响应等功能，可帮助实施大型机潜在恶意文件取证调查的安全团队更好地监控和保护系统安全。
云堡垒机（https://cloud.tencent.com/product/cwm）：腾讯云的堡垒机产品提供了强大的审计和访问控制能力，可用于监控和记录管理员和用户在大型机系统中的操作行为，有助于取证调查过程中的溯源分析。
云原生安全产品（https://cloud.tencent.com/solution/cloud-native-security）：腾讯云的云原生安全产品提供了全面的容器安全、服务器less安全、微服务安全等解决方案，可用于大型机系统中应用和数据的安全保护。

以上是关于大型机潜在恶意文件取证调查的完善且全面的答案。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

RSAC议题解读｜真实云安全事件复盘与思考

2022年RSAC会议上，云安全厂商Mitiga的CTO Ofer Maor带来了题为It’s Getting Real & Hitting the Fan! Real World Cloud Attacks的主题演讲。该演讲回顾了五个真实的云安全事件，并提出了针对性的防护策略。本文将对该演讲进行解读。

02

Bose披露3月初遭勒索软件攻击，泄露了部分数据

美国音响业巨头Bose公司公布其在3月初遭遇了一次勒索软件攻击，泄露了部分员工数据。

01

采用云计算的组织如何构建更好的现代化战略

越来越多的机构采用DevOps方法来支持更快速、高性能(快速可靠)的软件。他们依赖于DevOps工具链，这是一组或一组帮助现代应用程序交付、开发和管理的工具，以支持他们的工作。美国目前正在开始实施备受期待的现代化政府技术法案，该法案于去年12月已成为2018年国防授权法案的一部分。美国管理和预算办公室在今年2月下旬发布了备忘录M-12-18，为美国政府机构如何开始申请由技术现代化基金(TMF)管理的资金提供指导。而有些人认为一劳永逸地消除那些传统遗留技术的时机已经到来。但是随着美国联邦机构深入研究其现代

06

虹科分享 | 关于内存取证你应该知道的那些事

内存取证是指在计算机或其他数字设备运行时，通过对其随时存储的内存数据进行采集、分析和提取，以获取有关设备状态、操作过程和可能存在的安全事件的信息。内存取证是数字取证的一个重要分支，用于从计算机的RAM（随机存取存储器）或其他设备的内存中提取关键信息，以便了解设备在特定时间点的状态和活动。

04

微软推出新项目，可在系统内存快照中查找恶意软件

微软推出了一个名为Project Freta的新项目，这是一项基于云的免费产品，允许用户在操作系统内存快照中查找恶意软件（例如rootkit）。

05

揭秘：恶意软件是如何操纵ATM机的

作者 Rabbit_Run 卡巴斯基实验的全球研究和分析团队对东欧一起针对多款ATM机的网络犯罪进行了取证调查。调查过程中，该团队发现了一款新型的恶意软件Tyupkin，该恶意软件使用了控制活动时段和

08

甲方安全建设的一些思路和思考

本文主要是介绍一下笔者对于甲方安全能力建设的一些经验，心得和零散的思考。需要特别强调的是不同企业的实际情况不尽相同，本文仅供参考，不具普遍意义。

02

Windows取证分析 | 如何最大程度提升分析效率

内存取证是任何计算机取证分析人员的必备技能之一，这种技术允许我们找到很多无法在磁盘上找到的数字证据，例如：

01

Zeus Sphinx恶意软件重现，利用COVID-19救济款进行网络钓鱼

近期发现Zeus Sphinx银行木马程序在沉寂了三年后重新回归人们视线——以冠状病毒为主题开展网络钓鱼活动。COVID-19是目前网络攻击最为常见、最为流行的主题。

02

什么是EDR！

端点：台式机、服务器、移动设备和嵌人式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡，再通过进一步的漏洞利用来构筑长期驻留条件，最终迈向既定目标。端点检测与响应（(Endpoint Detection and Response，EDR）：完全不同于以往的端点被动防护思路，而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的安全威胁，并进行自动化的阻止、取证、补救和溯源，从而有效对端点进行防护。举例：360天擎终端检测与响应系统，融入了360威胁情报、大数据安全分析等功能，可以实时检测用户端点的异常行为和漏洞，通过与360威胁情报对比，能够及时发现威胁，做出木马隔离和漏洞修补的安全响应。

02

RSA 2017全面解读 : 安全厂家之威胁情报

本文介绍了威胁情报的基本概念、主要厂商及其产品，以及威胁情报面临的局限性和未来的发展趋势。

00

走进计算机取证分析的神秘世界

1. 介绍计算机技术是人们生活的重要组成部分，而且它正在迅速增长，同样发生在计算机犯罪方面，如金融诈骗，非法入侵，身份盗窃和盗窃知识产权。为了对付这些计算机相关的犯罪，计算机取证中起着非常重要的作用。 “计算机取证包括获取和分析数字信息用作证据在民事，刑事或行政案件（尼尔森，B.等人，2008）”。计算机取证调查通常调查从计算机硬盘或其他存储设备获取的取证数据，并遵循标准的政策和程序，以确定这些设备是否已被泄露和未经授权的访问或篡改。计算机取证调查以团队的形式进行共组，并使用各种方法（例如静态和动态

攻防演练 | 分享一次应急处置案例

接收到了上级发来的通知，说内网有服务器中了CS木马，经过排查是在2022年中的CS木马，红队通过钓鱼方式获取到了集团的用户主机权限，通过计划任务开机自启动方式，将Windows白名单程序加载恶意DLL文件实现权限维持与免杀天擎。

02

记一次Windows下的应急过程

在一个夜黑风高的夜晚，正在酣眠突然手机响起，电话那头传来了同事焦急的声音。某用户服务器被入侵了，需要进行调查取证，但是关键数据已经被运维人员删除，需要我们协助处理一下……

01

CircleCI 20230104 安全事件报告

2023 年 1 月 4 日，我们提醒客户[6] 一起安全事件。今天，我们想与您分享发生的事情、我们学到的知识以及我们未来不断改善安全态势的计划。

02

安全专家揭秘索尼影业被黑事件攻击原理

2014年年末，索尼影视遭遇史上最大规模的入侵，5部未上映的电影资源泄露，直接造成的经济损失就达数亿美元。然而潜在的经济损失更为严峻，敏感商业信息和内部员工几十千兆字节的敏感数据一同被盗，随之员工便遭到黑客组织GOP的恐怖威胁。至于攻击者背后真正的主谋是谁，一时间众说纷纭。美国方面指责是朝鲜黑客所为，因为索尼影视一部未上映的电影——《刺杀金正恩》中的故事情节有损金正恩的形象；还有一部分人指责是俄罗斯的黑客所为。到底主谋是谁？所为何因？至今不得而知…… 事件发生之后，趋势科技的专家发现索尼员工电脑屏幕上

06

Fortinet：新的零日漏洞攻击政府网络，窃取数据

近日，根据 Fortinet 最新报告：不明来源的的攻击者利用零日漏洞针对政府和大型组织，导致操作系统和文件损坏以及数据丢失。 Fortinet于2023年3月7日发布了安全更新，以解决这个高危安全漏洞（CVE-2022-41328），该漏洞可以让攻击者执行未经授权的代码或命令。该公司在公告中说：FortiOS中的路径名对受限目录漏洞的不当限制（路径穿越）[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。受影响的产品包括FortiOS 6.4.0至6.4.11版本，FortiOS 7.

01

官网被渗透后的应急响应与长期解决方案

当官方网站遭受渗透攻击后，快速识别问题、控制损失并修复漏洞至关重要。以下是针对这一情况的一系列详细步骤和技术手段，帮助您系统地解决问题，并构建更安全的网站环境。

01

威胁告警：大量ubnt设备被植入后门

近期，安恒安全研究团队监控到大量利用弱口令对22端口进行暴力破解的攻击。经过安全团队详细分析，我们发现网络上大量的ubnt设备的存在弱口令，并且已经被黑客使用自动化工具植入了后门。安恒APT网络预警平

06

第67篇：美国安全公司溯源分析Solarwinds供应链攻击事件全过程

2019年底，一家美国智库内部网络遭受入侵，美国安全公司Volexity帮忙做应急处理，很快将攻击者踢出网络，但是攻击者技术明显高超很多，很快又出现在内部网络中。此后每周都多次往返于内部网络中，窃取特定高管、专家和IT员工的邮件，将邮件内容发送到外部服务器。随后安全公司又花了一周的时间将攻击者踢出网络，但是不知道为啥，在2020年6月下旬，攻击者又卷土重来，又从相同的账号中窃取邮件信息。

02

使用ProcDot进行恶意软件分析

恶意软件（有时称为恶意软件）是通过恶意软件分析过程进行检查和理解的。当黑客利用恶意软件未经授权访问计算机、窃取有价值的信息或损害计算机系统时，这种技术对于识别和减轻网络风险至关重要。

03

ASRC 2021 年第二季度电子邮件安全观察

由于疫苗的开发与大量普及，疫情的阴霾，终于露出了一线曙光。许多地区开始解封，世界开始流动，就在此时，变种病毒对疫苗的抗性产生了变化，让原本开始解封的地区又拉起警报，第二季充满了希望与骤变，信息安全也在时刻角逐，是否也能及时防护与应对呢？

04

安全产品漏洞这个事，瞒不住了

设想这样一个场景：攻防演练期间，作为防守方的某企业已竭尽所能部署了安全防御体系，但最终仍然被打穿。事后调查发现，竟是本该起到关键防护作用的某个安全产品存在0-Day，被攻击方成功利用。

02

将 60 多年的 COBOL 语言重构为 Java，IBM 用 AI 工具解决大型机维护难

COBOL 编程语言至今已有 60 多年，但对大企业至今依然至关重要，然而 COBOL 的维护却很困难，因为熟练使用这种老化语言的程序员已经退休甚至去世，许多年轻的程序员也根本没有学过它。

02

PcapXray：一款功能强大的带有GUI的网络取证工具

网络取证工具通常是安全研究专家用来测试目标网络系统安全性的特殊工具，今天我们给大家介绍的正是这样的一种工具。该工具名叫PcapXray，它带有非常强大的GUI界面，并且能够帮助我们离线分析捕获到的数据包。

04

微软检测到Linux XorDDoS恶意软件活动激增

近期，微软表示在过去六个月中，一种用于入侵Linux设备并构建DDoS僵尸网络的隐秘模块化恶意软件的活动量大幅增加了254%。该恶意软件从2014年开始活跃，也被称为XorDDoS或XOR DDoS，因为它在与命令和控制(C2)服务器通信时使用基于XOR的加密，并被用于发起分布式拒绝服务(DDoS)攻击。正如该公司透露的那样，僵尸网络的成功可能是由于其广泛使用各种规避和持久性策略，使其能够保持隐秘且难以清除。

02

APT 组织的聚类和攻击者活动关联

在威胁情报分析中，将高级具有可持续性的攻击事件定性为 APT 事件，定位 APT 组织并将 APT 组织的攻击事件关联起来是一件非常复杂的工作。火眼的威胁研究报告从“文档（样本）类聚模型”的角度将攻击事件汇聚关联。在“文档（样本）类聚模型”分析中，采取了词频-反文档频率 TF-IDF 指标和余弦相似度分析方法，大意理解为 TF-IDF 指标找唯一性（特殊），余弦相似度找相似性（同源）。并将该模型与威胁情报结合进行量化，来帮助情报专家来发现新的威胁组织、根据分析师需要提供可靠的“类聚”来提升对威胁事件的分析效率。

02

构建安全可靠的系统：第十六章到第二十章

尽管不可能为可能扰乱您组织的每种情况制定计划，但作为综合灾难规划策略的第一步，正如第十六章中所讨论的那样，是务实和可行的。这些步骤包括建立一个事件响应团队，在事件发生之前为系统和人员进行预置，并测试系统和响应计划——这些准备步骤也将有助于为危机管理做好准备，这是第十七章的主题。在处理安全危机时，具有各种技能和角色的人员需要能够有效地合作和沟通，以保持系统运行。

01

【连载】2016年中国网络空间安全年报（七）

2016年中国网络空间安全年报 4. 网络空间中的APT威胁分析美国FireEye火眼公司曾发布2013年度APT攻击报告(Advanced Threat Report)，在每天分析100个安全攻击事件的基础上，对159个与APT相关的恶意软件家族进行整理，在几乎世界上的每个角落都发现过恶意软件的服务器，并且攻击行为愈演愈烈。下文从安恒APT云端的海量攻击样本中，对APT的攻击特点与事件进行分析，其中木马程序成为了APT攻击常用工具，黑客通常采用恶意木马进行终端信息搜集与回联控制，为了深入说明APT

07

CleanMyMac2023有必要装机安装下载吗?

CleanMyMac2023是一款功能强大的 Mac 清理程序、加速工具和健康护卫，旨在让您的 Mac 重新展现强劲性能。点按一下，即可优化调整整个 Mac畅享智能扫描 — 这款超级简单的工具用于优化您的 Mac。只需点按一下，即可运行所有任务，让您的 Mac 保持干净、快速并得到最佳防护。

01

二进制程序分析指南

分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件，研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。

01

针对Sodinokibi黑客组织供应链攻击Kaseya VSA的分析溯源

前言 2021年7月2日，Sodinokibi(REvil)勒索病毒黑客组织疑似利用0day漏洞，通过Kaseya VSA发起大规模供应链攻击行动，此次事件影响范围广泛，目前瑞典最大链锁超市之一的Coop受此供应链勒索攻击事件影响被迫关闭全国约800多家商店服务。笔者此前发布了相关的安全事件报告。国内微步在线也对此次事件进行了相关分析报道，对Sodinokibi勒索病毒以及这次攻击不太了解的朋友，可以先参考之前的报告，事实上此次的供应链攻击影响还是蛮大的，攻击手法和攻击技术也是非常完整的，Kaseya

01

比较全面的恶意软件分析资料与项目

这是在github上找到的做恶意软件分析的资料，已经非常全面了，希望对做恶意软件检测的同学有帮助。

02

使用VOLATILITY发现高级恶意软件

当一个公司被高级恶意软件感染，一个正确的应急响应应该是去识别恶意软件和修复系统，建立更好的安全控制体系来防止未来此类事故的发生。在这篇文章中会介绍使用“内存取证”技术来检测高级的恶意软件感染，并且学会如何使用内存取证工具比如Volatility在真实的环境中检测恶意软件。内存技术是指从运行的电脑中取出内存镜像来进行分析的技术，其在应急响应和调查中扮演一个很重要的角色。它能够从计算机内存中提取取证线索，比如运行的进程，网络连接，加载的模块等等，同时他能够帮助脱壳，Rootkit检测和逆向工程。内存

05

恶意软件Symbiote将感染Linux系统上所有正在运行的进程

近期，一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程，窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查，该恶意软件会将自身注入所有正在运行的进程，就像是一个系统里的寄生虫，即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF（柏克莱封包过滤器）挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。 BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁，他们在一份详细的技术报告中揭示了该新恶意软件的详细信息

02

新发现！卡巴斯基称ChatGPT可用于恶意代码识别

随着近日大型语言模型 (LLM) ChatGPT的流行，许多网络安全工作者也开始实验它在抵御安全威胁方面的能力。目前已有多项实验表明，ChatGPT不仅能够对潜在的安全事件进行分类，还能从中发现代码的安全漏洞，即便它没有专门针对此类活动进行训练。 2月15日，卡巴斯基在一项实验中，将ChatGPT 作为事件响应工具的实用程序进行分析。他们模仿一般攻击者使用 Meterpreter 和 PowerShell Empire 代理感染了一个系统，用 ChatGPT 对受感染的进程进行识别。结果显示，ChatGP

01

Ferocious Kitten APT组织监视伊朗公民长达六年

卡巴斯基的研究人员报告，与伊朗有关的APT组织Ferocious Kitten正在利用即时通讯应用程序和VPN软件，如Telegram和Psiphon，来分发Windows RAT并监视目标设备。

02

取证工具

DFF是一个能通过命令行和界面使用的取证框架。能被用于硬盘和内存调查并创建序使用者和系统活动情况的调查报告。该框架具有模块化、可编程性以及通用性三个特点。

00

黑了记者：写个恶意软件玩玩（一）

潘多省日报（Pando Daily）的编辑Adam Penenberg最近发表了一篇文章《我让黑客来调查我，他们的发现让我不寒而栗》，讲述了我和我的小伙伴“骚扰”他生活的事情。如果你还没读过，那我强烈建议你去瞅瞅。 http://pandodaily.com/2013/10/26/i-challenged-hackers-to-investigate-me-and-what-they-found-out-is-chilling/ 本周该日报上又发布了一篇后续文章，“一个记者让我们黑他，我们是怎么做到的呢

IT和信息安全备忘单

尽管我们试图积极主动地处理信息安全，IT规划或项目管理，但我们会分心或拖延。这些信息安全备忘单，清单和模板旨在帮助IT专业人员处理困难的情况。

00

metasploit震网三代的利用教程

SCADA系统，广泛应用在堤坝、发电站、炼油厂、大型服务器控制服务方面等等。主要用于高度专业的任务例如水位调度控制、电力网络的控制等等。

01

有关事件响应（IR）自动化和协同的几点反思

有关事件响应（IR）自动化和协同的几点反思 IR（incident response），顾名思义，事件响应，旨在对一些潜在的危机，如数据外泄、DoS或DDoS攻击、防火墙外泄、病毒或恶意软件爆发等威胁进行响应。随着各种项目互联网化，商业事件响应工具增势甚猛。就在本周，我重新回顾了几个有关事件响应（IR）自动化和协同的采访。很多专业从事网络安全的专业人士参与了这些采访，他们共同指出了一些值得我们反思的问题： 1、IR通常由基本工具、手动过程和关键人员组成。虽然故障标签和ITSM（information

07

重保特辑 | 守住最后一道防线，主机安全攻防演练的最佳实践

主机安全是企业云上安全最后一道防线之一。作为企业云上的最后屏障，主机一旦被攻陷，企业核心资产将岌岌可危，甚至会威胁到整个内网的安全。

04

自动化、安全分析和人工智能，从Gartner预测看网络安全新规则

对于很多人来说，2017年也许是一个让人充满希望的新纪元，但是对于信息安全专家来说，2017年绝对是非常“可怕”的一年。现状评估与发展预测首先，让我们来看一看Gartner公司对于信息安全现状的一些评估和预测： 1. 从现在起至2020年，由于企业信息安全团队的数字化管理能力存在问题，将直接导致60%的数字化企业发生信息安全事件。 2. 从现在起至2020年，60%的企业在信息安全方面的预算将会花在威胁快速检测和安全应急响应上。 3. 从现在起至2018年，25%的企业数据流量将会绕过企业安全控制策

07

解读美国国会关于OPM数据泄露事件的调查报告

2015年7月，美国联邦人事管理局（OPM）公开承认曾遭到两次黑客入侵攻击，攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露。泄露内容包括详细个人信息，如社会安全码、姓名、出生年月、居住地址、教育工作经历、家庭成员和个人财务信息等。美官员声称，这是美国政府历史上最大的数据泄露案件之一。美国前高级反间谍官员布伦纳（Joel Brenner）表示，对外国情报机关来说，这些信息简直就是金矿或者皇冠上的明珠。 OPM攻击最早由美国计算机应急响应中心（US-CERT）通过爱因斯

08

Lazarus 组织开始在攻击中应用反取证技术

大约一年前开始，在韩国国防、卫星、软件和媒体出版等多个行业的公司中都发现了 Lazarus 组织的身影。本文旨在通过 Lazarus 组织入侵的组织，总结该犯罪团伙所使用的反取证技术。概述反取证技术是攻击者旨在篡改证据，试图提高犯罪现场取证调查难度而应用的一类技术。反取证技术通常要达成以下目标：规避检测并阻碍信息收集增加取证分析的难度禁用或使数字取证工具失灵阻止、绕过或删除日志以隐藏痕迹反取证技术的分类多种多样，本文使用 Marcus Roger 博士提出的分类标准（数据隐藏、数据

02

安全应急响应工具年末大放送

为了帮助安全分析师更好的完成工作，小编整理了一些现在比较流行的安全应急响应工具和资源，从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒/逆向工具等，相信总有一款适合你。磁盘镜像创建工具 Get

06

绝对隔离+底层限制，成就猎鹰蜜罐“牢不可破”的立体化安全

自网络诞生以来，攻击威胁事件层出不穷，网络攻防对抗已成为信息时代背景下的无硝烟战争。然而，传统的网络防御技术如防火墙、入侵检测技术等都是一种敌暗我明的被动防御，难以有效应对攻击者随时随地发起的无处不在的攻击和威胁。蜜罐技术的出现改变了这种被动态势，它通过吸引、诱骗攻击者，研究学习攻击者的攻击目的和攻击手段，从而延缓乃至阻止攻击破坏行为的发生，有效保护真实服务资源。国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务，所有进出蜜罐的网络流量都是非法的，都可能预示着一次扫描和攻击，蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。

00

OpenStack安全问题：缺乏自卫武器

大家可能还记得Alexander Adamov在2015年5月的一篇关于“云端检测针对性的网络攻击”的文章，现在他给我们带来了OpenStack东京安全峰会的一些内容。漏洞管理和安全测试漏洞邮件列

06

朝鲜自研杀毒软件外泄，采用十年前趋势科技的盗版引擎

在一项独家研究中，Check Point研究人员对朝鲜本土的杀毒软件 SiliVaccine 进行了一项揭露性调查。发现一个非常有趣的问题是，SiliVaccine代码的一个关键组成部分是趋势科技（一家日本公司）的软件组件10年历史版本。

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭