做过应急响应或者安全运营的人基本都需要了解 SIEM 到底是什么，真正有用吗？答案是：很有用，但前提是你得真正

SOAR，全称 Security Orchestration, Automation and Response

最近在处理MSS安全告警的时候遇到的问题：部署了 OpenVPN 的服务器上，HIDS 检测到了恶意域名的 D

在实际的应急响应和安全事件调查中，USB 几乎永远是一个“被低估的风险点”。USB 不需要复杂的攻击链，也不依

在真实的安全运营场景中，我们往往是在“事情已经发生之后”才介入：告警触发、业务异常、用户反馈异常登录……随后启

在应急排查现场，大家最怕的一类情况不是“清晰的恶意域名或 IP”，而是那种表面看起来一切正常的 HTTPS 流

在大量真实入侵事件中，远程桌面协议（RDP）几乎已经成为攻击者进行横向移动的“标配工具”。这个最初由微软设计、

在应急响应和取证工作中，我们越来越频繁地面对一个现实：大量关键业务和数据已经不在传统机房，而是在云上运行。理解

自计算机系统出现以来，网络攻击者一直利用当时可用的各种攻击向量对系统实施入侵。在早期，由于数字环境规模小、结构

最近这几年攻防对抗愈演愈烈，攻击队被溯源反制的案例也越来越多。我本身从事应急响应，想站在蓝队的视角，基于ESX

收集整理了互联网上IDA Pro 9.1多个平台的破解版本，为方便使用整理成了一键安装脚本。 安装截图 下载对

做过渗透的小伙伴对这个命令都不会陌生，通常利用web漏洞进行反弹shell后，都会执行python的pty.s

无法提供摘要。这是一篇受保护的文章。

最近MSS运营中收到一条主机安全的告警，某客户的机器触发DNSLOG告警。但是这台机器本身也不提供服务，也没有

vol3分析Linux内存通常都会遇到上面的报错，就是缺少对应的系统符号表。但网上介绍Volatility3的

无法提供摘要。这是一篇受保护的文章。

配置列表 ESXI控制台配置 PCI启用显卡直通 打开ESXI后，在管理-硬件-PCI设备-搜索NVIDIA-

常用的压缩包格式有zip，rar，7z这三类。一开始在处理这些压缩包时，采用的思路是直接用python封装的第

esxi配置旁路由过程记录。 下载Openwrt固件 在谷歌上搜索了一下，国内用的人较多且更新频繁的Openw

无法提供摘要。这是一篇受保护的文章。

KAPE(Kroll Artifact Parser and Extractor)用于获取和解析 Window

在进行取证调查时，Windows 回收站被视为重要的证据来源，因为通过文件资源管理器和任何回收站感知程序删除的

SRUM 被认为是取证信息的金矿，因为它包含特定 Windows 系统上发生的所有活动。SRUM 跟踪和记录程

Windows中有许多没有默认开启的事件日志，比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件

最近在tg上遇到一种场景，需要自动回复bot返回的菜单消息。网上没有相关教程，自行研究了一下。 tg bot消