利用GetObject(“WinMgmts:”)获取系统信息

用WMI对象列出系统所有进程:
—-Instance.vbs—-
程序代码
Dim WMI,objs
Set WMI = GetObject(“WinMgmts:”)
Set objs = WMI.InstancesOf(“Win32_Process”)
For Each obj In objs
Enum1 = Enum1 + obj.Description + Chr(13) + Chr(10)
Next
msgbox Enum1

获得物理内存的容量:
—–physicalMemory.vbs—–
程序代码
strComputer = “.”

Set wbemServices = GetObject(“winmgmts:\\” & strComputer)
Set wbemObjectSet = wbemServices.InstancesOf(“Win32_LogicalMemoryConfiguration”)

For Each wbemObject In wbemObjectSet
WScript.Echo “物理内存 (MB): ” & CInt(wbemObject.TotalPhysicalMemory/1024)
Next

取得系统所有服务及运行状态
—-service.vbs—-
程序代码
Set ServiceSet = GetObject(“winmgmts:”).InstancesOf(“Win32_Service”)
Dim s,infor
infor=””
for each s in ServiceSet
infor=infor+s.Description+” ==> “+s.State+chr(13)+chr(10)
next
msgbox infor

用WMI对象列出系统所有进程:
—-Instance.vbs—-
程序代码
Dim WMI,objs
Set WMI = GetObject(“WinMgmts:”)
Set objs = WMI.InstancesOf(“Win32_Process”)
For Each obj In objs
Enum1 = Enum1 + obj.Description + Chr(13) + Chr(10)
Next
msgbox Enum1

获得物理内存的容量:
—–physicalMemory.vbs—–
程序代码
strComputer = “.”

Set wbemServices = GetObject(“winmgmts:\\” & strComputer)
Set wbemObjectSet = wbemServices.InstancesOf(“Win32_LogicalMemoryConfiguration”)

For Each wbemObject In wbemObjectSet
WScript.Echo “物理内存 (MB): ” & CInt(wbemObject.TotalPhysicalMemory/1024)
Next

取得系统所有服务及运行状态
—-service.vbs—-
程序代码
Set ServiceSet = GetObject(“winmgmts:”).InstancesOf(“Win32_Service”)
Dim s,infor
infor=””
for each s in ServiceSet
infor=infor+s.Description+” ==> “+s.State+chr(13)+chr(10)
next
msgbox infor

CPU的序列号:
—CPUID.vbs—
程序代码
Dim cpuInfo
cpuInfo = “”
set moc = GetObject(“Winmgmts:”).InstancesOf(“Win32_Processor”)
for each mo in moc
cpuInfo = CStr(mo.ProcessorId)
msgbox “CPU SerialNumber is : ” & cpuInfo
next

硬盘型号:
—HDID.vbs—
程序代码
Dim HDid,moc
set moc =GetObject(“Winmgmts:”).InstancesOf(“Win32_DiskDrive”)
for each mo in moc
HDid = mo.Model
msgbox “硬盘型号为:” & HDid
next

网卡MAC物理地址:
—MACAddress.vbs—
程序代码
Dim mc
set mc=GetObject(“Winmgmts:”).InstancesOf(“Win32_NetworkAdapterConfiguration”)
for each mo in mc
if mo.IPEnabled=true then
msgbox “网卡MAC地址是: ” & mo.MacAddress
exit for
end if
next

测试你的显卡:
程序代码
On Error Resume Next
Dim ye
Dim yexj00
set yexj00=GetObject(“winmgmts:{impersonationLevel=impersonate}”).InstancesOf(“Win32_VideoController”)
for each ye in yexj00
msgbox ” 型 号: ” & ye.VideoProcessor & vbCrLf & ” 厂 商: ” & ye.AdapterCompatibility & vbCrLf & ” 名 称: ” & ye.Name & vbCrLf & ” 状 态: ” & ye.Status & vbCrLf & ” 显 存: ” & (ye.AdapterRAM\1024000) & “MB” & vbCrLf & “驱 动 (dll): ” & ye.InstalledDisplayDrivers & vbCrLf & “驱 动 (inf): ” & ye.infFilename & vbCrLf & ” 版 本: ” & ye.DriverVersion
next

 

补充一段结束所有qq进程代码:

strComputer=”.”
Set objWMIService = GetObject(“winmgmts:\\” & strComputer & “\root\cimv2”)
Set colProcessList=objWMIService.ExecQuery (“select * from Win32_Process where Name=’QQ.exe’ “)
For Each objProcess in colProcessList
objProcess.Terminate()
next

ES 6.3 安装指南与会出现的问题汇总

https://es.xiaoleilu.com/010_Intro/05_What_is_it.html

 

6.3 head

https://blog.csdn.net/qq_35513355/article/details/79738161

https://blog.csdn.net/qq_21387171/article/details/53577115

 

kibana操作

https://blog.csdn.net/u012450329/article/details/52601076

https://blog.csdn.net/u012450329/article/details/52601076

免密登陆ssh

1、测试是否能免密登录

      # ssh localhost

The authenticity of host ‘localhost (::1)’ can’t be established.

2、设置免密登录

1)、去掉 /etc/ssh/sshd_config中的两行注释,如没有则添加,所有服务器都要设置的:

        #RSAAuthentication yes  
        #PubkeyAuthentication yes

2)、生成秘钥:

# ssh-keygen -t rsa

备注:输入命令后回车4次

3)、复制到公共密钥中:

# cp /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys

4)、将秘钥复制到目标服务器:

# ssh-copy-id 目标服务器IP

5)、测试:(没有报错,并没有提示输入目标服务器用户密码,用户切换到目标服务器用户名则成功)

# ssh 目标服务器IP

 

hadoop学习笔记

hadoop生态系统是为了处理大数据集而产生的一个合乎成本效益的处理方案

hadoop是一个面向批处理的系统,MapReduce 为其实现的一个特别的计算模型,其可以将计算任务分割成多个处理单元然后分散到一群家用的或服务器级别的硬件机器上,从而降低成本并提供水平可伸缩性。

这个计算的下面是一个被称为Hadoop分布式文件系统 (HDFS)的分布式文件系统。

mapreduce来自两个基本的数据转换操作:map过程和reduce过程。

map操作会将集合中的元素从一种形式转换成另一种形式。在这种情况下,输入的键-值对会被转换成零到多个键-值对输出。其中,输入和输出的键必须完全不同,而输入和输出的值则可能完全不同。

某个键的所有键-值对都会被分发到同一个reduce操作种,reduce过程的目的是将值的集合转换成一个值,或者转换成另一个集合,最终会产生一个键-值对。

 

最新海莲花组织攻击事件分析

海莲花(OceanLotus、APT32)是一个具有越南背景的黑客组织。该组织最早被发现于 2012 年 4月攻击中国海事机构、海域建设部门、科研院所和航运企业。主要使用鱼叉和水坑攻击方式,配合社工手段,利用特种木马进行符合越南国家利益的针对性窃密活动。

近日,启明星辰金睛安全研究团队发现了一起该组织的最新攻击事件,我们还原了从投放到最后远控释放的整个攻击过程。

载荷分析

本次投放的恶意文档名为Đơn khiếu nại,文件名为越南语,翻译后中文意思为“投诉”。images

该文档实际为一个恶意宏文档,打开后会显示诱惑用户启动宏开关的图片。

images

通过进入宏代码窗口,发现设置了密码保护。

images

经过处理,我们获取到了一段混淆较为严重的VBS代码。

images

经过混淆解密后,可以得到以下VBS代码。
images

解密后,该脚本会去加载一段新的vbscript脚本,值得一提的是,在获取该段脚本过程中,我们发现存在区域限制问题,即在某些国家和地区无法对其进行下载,最后我们通过某些途径将其获取到。

VBS Loader分析

得到该脚本后,我们发现该段代码也具有强混淆手法。

images

经过分析发现,原始文件存在3段代码,分别使用了0x35, 0x39, 0x35作为异或解密的密钥。

第一段代码如下所示。这段代码新建了一个Excel对象,并修改了注册表中AccessVBOM的值,使脚本可以对宏进行调用执行。

images

第二段代码为该Excel对象的宏代码,该段宏代码经过了一定的混淆,并使用了0x78来异或加密其中的字符串。并使用CreateProcess来调用rundll32,然后将一段shellcode注入到该进程中,并最终通过CreateRemoteThread加载该段shellcode。

shellcode的前半部分是base64解码程序,后半部分是base64数据。

宏代码中的shellcode内容如下所示。

images

shellcode的前0x76个字节是一个loader,作用是对后面的数据进行解码并加载。该数据的编码为base64,经过解码后可以得到另一段shellcode,如下所示。

images

这段shellcode会连接C&C服务器,下载另一段shellcode内容并直接加载。

第三段代码如下所示。这段代码调用了该Excel的Auto_Open函数,并关闭Excel对象,恢复注册表中的AccessVBOM字段。

images

远控分析

最终的shellcode在下载完成并运行后,首先shellcode头部通过将偏移0x34和0x38处的数据进行异或求得数据的总长度,然后对随后的数据进行异或解密,在全部解密完成后开始执行代码。

images

解密后得到一个DLL文件,该文件的导出模块名为17f2d8.dll,导出函数名为_ReflectiveLoader@4。

images

在DllMain函数的开头,会对0x10030028处大小为0x1000的数据进行异或0x69解密。

images

在解密后的数据中,可以发现该后门回连的C&C服务器为:

https://***.***.net,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=booksimages

另外,该样本也在请求中将自己伪造为amazon.com,将传输的数据编码后隐藏在Cookies字段中。

当得到C&C服务器发过来的指令后,该远控便会执行相应的操作,通过统计发现有长达72种指令。

 

以下为其中几种指令的功能。

 

 

 

溯源与关联分析

Shellcode关联

 

结合该VBS脚本下载的shellcode的编写技巧,我们通过以往追踪海莲花组织的经验,发现该段shellcode与以往海莲花组织所使用的shellcode手法几乎一致。

 

 

(上图为本次攻击中使用的shellcode,下图为以往海莲花所使用的shellcode)

 

同源性关联分析

 

 

除了shellcode外,从本次攻击中最后释放的远控,与在我们以往披露的海莲花组织报告中(详见《2017网络安全态势观察报告》),无论是回传特征,还是代码结构,都几乎一致。

 

 

甚至连伪装成amazon的host主机也一致。

 

因此可以确认,本次攻击的确为海莲花组织发起,并且该组织仍然在沿用以往的武器,我们已经形成针对最终下载木马在通信时的攻击特征“HTTP_木马_海莲花_连接”,最新事件库可以有效检测海莲花组织最新攻击行为。

除此之外,由于本次攻击中,文件名为越南语书写,且标题与商业相关,因此很有可能目标针对越南相关的私营企业。

 

总结

金睛安全研究团队对海莲花组织的近期攻击活动中使用的恶意代码进行了深入的分析挖掘,并结合威胁情报数据对该组织近几年来的攻击武器进行了分析和比较,可以看出该组织无论是水坑攻击还是钓鱼攻击,都具有很强的能力。

目前,VenusEye威胁情报平台、天阗高级威胁检测系统、天阗入侵检测系统、天清入侵防御系统等启明星辰产品线系统,都已经支持对此海莲花组织攻击活动的检测。如下:

 

点击APT32可以获取到该组织的相关文章与情报

 

 

 

相关样本均能在天阗高级威胁检测系统中报警

查找目录下的所有文件中是否含有某个字符串 

查找目录下的所有文件中是否含有某个字符串
find .|xargs grep -ri “IBM”
查找目录下的所有文件中是否含有某个字符串,并且只打印出文件名
find .|xargs grep -ri “IBM” -l
1.正则表达式
(1)正则表达式一般用来描述文本模式的特殊用法,由普通字符(例如字符a-z)以及特殊字符(称为元字符,如/、*、?等)组成。
(2)基本元字符集及其含义
^ :只匹配行首。   如^a 匹配以a开头的行abc,a2e,a12,aaa,……
$ :只匹配行尾。   如^a 匹配以a结尾的行bca,12a,aaa,…….
* :匹配0个或多个此单字符。 如(a)* 匹配 空,a,aa,aaa,….
[] :只匹配[]内字符。可以是一个单字符,也可以是字符序列,用”,”将里面要匹配的不同字符串分开。也可以使用-来表示[]内字符序列的范围,如[1-5]表示[12345]
\ :只用来屏蔽一个元字符的特殊含义。 如\*,\’,\”,\|,\+,\^,\. 等
.:(点)只匹配任意单字符。
pattern\{n\}:只用来匹配前面pattern出现的次数.n为次数。如a\{2\}匹配aa.
pattern\{n,\}:含义同上,但次数最少为n.如a\{2,\}匹配aa,aaa,aaaa,…..
pattern\{n,m\}:含义同上,但次数在n和m之间。如a\{2,4\}匹配aa,aaa,aaaa三个
(3)举例说明:
^$ :匹配空行
^.$ :匹配包含一个字符的行
\*\.pas :匹配以*.pas结尾的所有字符或文件
[0123456789]或[0-9] :假定要匹配任意一个数字
[a-z] :任意小写字母
[A-Za-z] :任意大小写字母
[S,s] :匹配大小写S
[0-9]\{3\}\.[0-9]\{3\}\.[0-9]\{3\}\.[0-9]\{3\} :匹配IP地址 [0-9]\{3\}三个0-9组成的字符串;\. :匹配点(注意这里点是特殊的字符,所以要用”\”来屏蔽其含义)
2.find介绍   (1)查找具有某些特征文件的命令,可遍历当前目录甚至于整个文件系统来查看某些文件或目录,其遍历大的文件系统时一般放在后台执行。
(2)find命令的一般形式
find pathname -options [-print -exec -ok]
-pathname :find命令所查找的目录路径。如用”.”来表示当前的目录,用/来表示系统根目录
-print :find命令将匹配的文件输出到标准输出
-exec: find命令对匹配的文件执行该参数所给出的shell命令,相应的命令形式为
‘command'{} \; (注意{}和\之间的空格)
-ok 和 -exec的作用相同,只不过以一种更为安全的模式来执行该参数所给出的shell命令,在执行每一个命令之前,都会给出提示,让用户来确定是否执行。
options有如下几种:
-name :按照文件名查找文件
-perm :按照文件权限来查找文件
-user :按照文件属主来查找文件
-group :按照文件所属的组来查找文件
-mtime -n +n 按照文件的更改时间来查找文件,-n表示文件更改时间距现在n天以内,+n表示文件更改时间距现在n天以前。find命令还有-atime 和-ctime选项,但它们都和-mtime选项相似。
-size n[c]查找文件长度为n块的文件,带有c时表示文件长度以字节计。
-nogroup 查找无有效所属组的文件,即该文件所属的组在/etc/groups中不存在
-newer file1 !file2查找更改时间比文件file1新但比文件file2旧的文件
-depth 先查找指定目录有无匹配文件,若无则再在子目录中查找
-type 查找某一类型的文件,如
b :块设备文件
d:目录
e:字符设备文件
p;管道文件
l:符号链接文件
f:普通文件
(3)find命令举例
find -name “*.txt” -print 查找txt结尾的文件并输出到屏幕上
find /cmd “.sh” -print 查找/cmd目录下所有sh文件,并输出
find . -perm 755 -print 查找当前目录下权限为755的文件,并输出
find `pwd` -user root -print 查找当前目录下属主为root的文件,并输出
find ./ -group sunwill -print 查找当前目录下所属主是sunwill的文件
find /var -mtime -5 -print 查找/var目录下更改时间为5天内的所有文件
find /var -mtime +5 -print 查找/var目录下更改时间为5天以前的所有文件
find /var -newer “myfile1” ! -newer “myfile2” -print 查找/var目录下比myfile1新,但是比myfile2旧的所有文件。
find /var -type d -print 查找/var目录下所有目录
find /var -type l -print 查找/var目录下所有的符号链接文件。
find . -size +1000000c -print 查找当前目录下大于1000000字节的文件
find / -name “con.file” -depth -print 查找根目录下有无”con.file”,若无则在其子目录中查找
find . -type f -exec ls -l {} \; 查找当前目录下是否有普通文件,若有则执行ls -l
(4)xargs命令
在 使用find命令的-exec选项处理匹配到的文件时,find命令将所有匹配到的文件一起传递给exec。不幸的是,有些系统对能够传递给exec的命 令长度有限制,这样find命令运行几分钟之后就算出现溢出错误。错误信息通常是“参数列太长”或“参数列溢出”。这就是xargs的用处所在,特别是与 find命令一起使用,exec会发起多个进程,而xargs会多个,只有一个
find ./ -perm -7 -print | xargs chmod o-w 查找权限为7的文件并传递给chmod处理
3.grep介绍   (1)grep 的一般格式为 grep [options] 基本正则表达式 [文件]
字符串参数最好采用是双引号括,一是以防被误解为shell命令,二是可以用来查找多个单词组成的字符串
-c:只输出匹配行的记数
-i:不区分大小写(只适用于单个字符)
-h:查询多个文件时不显示文件名
-H:只显示文件名
-l:查询多文件时只输出包含匹配字符的文件名
-n:只显示匹配行及其行号
-s:不显示不存在或无匹配文本的错误信息。
-v:显示不包含匹配文本的所有行。
(2)举例说明:
grep ^[^210] myfile 匹配myfile中以非2、1、0开头的行
grep “[5-8][6-9][0-3]” myfile 匹配myfile中第一位为5|6|7|8,第二位6|7|8|9,第三位为0|1|2|3的三个字符的行
grep “4\{2,4\}” myfile 匹配myfile中含有44,444或4444的行
grep “\?” myfile匹配myfile中含有任意字符的行
(3)grep命令类名
[[:upper:]]   表示[A-Z]
[[:alnum:]]   表示[0-9a-zA-Z]
[[:lower:]]   表示[a-z]
[[:space:]]   表示空格或者tab键
[[:digit:]]   表示[0-9]
[[:alpha:]]   表示[a-zA-Z]
如:grep “5[[:digit:]][[:digit:]]” myfile 匹配myfile中含有5开头接下去两位都是数字的行。
4.awk介绍
可以从文件或字符串中基于指定规则浏览和抽取信息,是一种自解释的变成语言。
(1)awk命令行方式 awk [-F filed-spearator] ‘command’ input-files
awk脚本:所有awk命令插入一个文件,并使awk程序可执行,然后用awk命令解释器作为脚本的首行,以便通过键入脚本名称来调用它。awk脚本是由各种操作和模式组成。
模式部分决定动作语句何时触发及触发事件。(BEGIN,END)
动作对数据进行处理,放在{}内指明(print)
(2)分隔符、域和记录
awk执行时,其浏览域标记为$1,$2,…$n.这种方法成为域标识。$0为所有域。
(3)举例说明:
awk ‘{print $0}’ test.txt |tee test.out 输出test.txt中所有行$0表示所有域
awk -F : ‘{print $1} test.txt |tee test.out’   同上。。只是分隔符为”:”
awk ‘BEGIN {print “IPDate\n”}{print $1 “\t” $4} END{print “end-of-report”}’ test.txt
开始时打印“IPDate”结束时打印“end-of-report”中间打印主体信息,比如总共匹配三条信息,则输出如下:
IPDate
1 first
2 second
3 third
end-of-report
(4)匹配操作符 ~ 匹配,!~ 不匹配
cat test.txt |awk ‘$0~/210.34.0.13/’ 匹配test.txt中为210.34.0.13的行
awk ‘$0!~/210.34.0.13’ test.txt     匹配test.txt中不是210.34.0.13的行
awk ‘{if($1==”210.34.0.13″) print $0}’ test.txt 匹配 test.txt中第一个域为210.34.0.13的行。
5.sed介绍     sed不与初始化文件打交道,它操作的只是一个拷贝,然后所有的改动如果没有重定向到一个文件,将输出到屏幕。
sed是一种很重要的文本过滤工具,使用一行命令或者使用管道与grep与awk相结合。是一种非交互性文本流编辑。
(1)调用sed的三种方式
使用sed命令行格式为:sed [options] sed命令 输入文件
使用sed脚本文件格式为:sed[options] -f sed脚本文件 输入文件
sed脚本文件[options] 输入文件
–不管是使用shell命令行方式或脚本文件方式,如果没有指定输入文件,sed从标准输入中接受输入,一般是键盘或重定向结果。
(2)sed 命令的options如下
-n:不打印
-c:下一命令是编辑命令
-f:如果正在调用sed脚本文件
(3)sed在文件中查询文本的方式
–使用行号,可以是一个简单的数字,或是一个行号的范围
–使用正则表达式
(4)读取文本的方式
x       x为一行号
x,y       表示行号范围从x到y
/pattern/     查询包含模式的行
/pattern/pattern/ 查询包含两个模式的行
pattern/,x   在给定的行号上查询包含模式的行
x,/pattern/   通过行号和模式查询匹配行
x,y!       查询不包含指定行号x和y的行
(5)基本sed编辑命令
p   打印匹配行
d   删除匹配行
=   显示文件行号
a\   在定位行号后附加新文本信息
i\   在定位行号后插入新文本信息
c\   用新文本替换定位文本
s     使用替换模式替换相应模式
r     从另一个文件中读文件
w   写文本到一个文件
q     第一个模式匹配完成后推出或立即退出
l     显示与八禁止ASCII代码等价的控制字符
{}   在定位行执行的命令组
n     从另一个文件中读文本下一行,并附加在下一行
g     将模式2粘贴到/pattern n/
y     传送字符
(6)举例说明:
sed -n ‘2p’ test.txt 打印第二行的信息(注意:-n是不打印不匹配的信息,若没加-n,则打印文件的所有信息而不是匹配信息)
sed -n ‘1,4p’ test.txt 打印第一行到第四行的信息
sed -n ‘/los/p’ test.txt模式匹配los,并打印出来
sed -n ‘2,/los/p’ test.txt 从第二行开始。。知道匹配第一个los
sed -n ‘/^$/p’ test.txt 匹配空行
sed -n -e ‘/^$/p’ -e ‘/^$/=’ test.txt 打印空行及行号
sed -n ‘/good/a\morning’ test.txt 在匹配到的good后面附加morning
sed -n ‘/good/i\morning’ test.txt 在匹配到的good前面插入morning
sed -n ‘/good/c\morning’ test.txt 将匹配到的good替换成morning
sed ‘1,2d’ test.txt 删除第1和2行
sed ‘s/good/good morning/g’ test.txt 匹配good并替换成goodmorning
send ‘s/good/& hello /p’ test.txt 匹配到good就在其后面加上hello
send ‘s/good/ hello &/p’ test.txt 匹配到good就在其前面加上hello
6.合并与分割(sort,uniq,join,cut,paste,split)     (1)sot命令
sort [options] files 许多不同的域按不同的列顺序排序
-c 测试文件是否已经排序
-m 合并两个排序文件
-u 删除所有同样行
-o 存储sort结果的输出文件名
-t 域分隔符,用非空格或tab开始排序
+n :n 为列号,使用此列号开始排序
-n 指定排序是域上的数字分类项
-r 比较求逆
sort -c test.txt 测试文件是否分类过
sort -u test.txt 排序并合并一样的行
sort -r test.txt 以相反的顺序排列
sort -t “/” +2 test.txt 以”/”分隔,第二个域开始分类
(2)uniq命令
uniq [options ] files 从一个文本文件中去除或禁止重复行
-u 只显示不重复行
-d 只显示有重复数据行,每种重复行只显示其中一行
-c 打印每一重复行出现次数
-f :n为数字,前n个域被忽略
uniq -f 2 test.txt 忽略前2个域
(3)join 命令
join [options] file1 file2 用来将来自两个分类文本文件的行连在一起
-an,n为一数字,用于连接时从文件n中显示不匹配行
-onm ,连接域,n为文件号,m为域号
-jnm,n为文件号,m为域号,使用其他域作连接域
-t ,域分隔符。用来设置非空格或tab键的域分隔符。
(4)split命令
split -output_file_size intput_filename output_filename
用来将大文件分割成小文件。
-b n,每个分割文件的大小n
-C n,每个分割文件一行最多n字节
-l n,每个分割文件的行数
-n,同-l n
split -10 test.txt 将test.txt分割成10行的小文件
(5)cut 命令
cut -c n1-n2 filename 显示每行从开头算起 n1 到 n2 的文字。

cut -c 3-5 test.txt 显示test.txt中每行从第3到第5个字符