webshell应急响应

攻击的两种方式

 钓鱼、0day

webshell事件处理流程

1
2
3
4
5
6
7
8

（a）现场访谈确定范围
（b）分析日志：
	（1）日志存在：确定攻击事件->攻击特征->定位特征文件->确定攻击者IP->攻击复现
	（2）日志不存在：黑盒发掘漏洞并查看相关配置文件是否存在弱口令，如tomcat的tomcat-userxml，反共黑客喜欢用的struts2漏洞
（c）根除webshell
（d）后门排查根除
（e）漏洞修补
（f）输出文档与建议

webshell事件表现

 安全设备报警、被上级部门通报、被挂黑链、被篡改首页

矩阵复习题目（划的题+课后题）

划的题

1-4在ipad笔记上。

0x05

考虑上三角矩阵 $\mathbf{A}$

stm32逆向入门

0x00 背景知识

 针对SCTF2020的STM32门锁固件题目firmware.hex。题目链接为：链接。题目相关信息：STM32F103C8T6 MCU密码锁，具有4个按键，分别为1、2、3、4，分别对应GPIO_PA1、GPIO_PA2、GPIO_PA3、GPIO_PA4。有两个flag。flag1：门锁密码； flag2：UART输出的信息。

复现文件保存在链接。

SycLang

 64位trans_IR。主要是看那个txt文件。经过化简，可以得到：

tvm分析与还原

 主要是前几天群里发了看雪的一篇文章，icey师傅通过腾讯的游戏安全技术竞赛把tvm日穿了，所以学习一下咯。具体链接不知道还有没有，反正pdf下载下来了hh。

 tvm是腾讯的虚拟化加密壳。特征是区段中有.tvm0。