LOG主机安装splunk:
1.查看安装包：
ls

2.安装splunk
sudo apt install ./splunk-9.0.4.1-linux-2.6-amd64.deb

3.查看已经安装的splunk路径
sudo find / -name splunk

4.根据splunk路径，启动splunk
sudo /opt/splunk/bin/splunk start
启动过程中会创建管理员账号:admin，以及密码

5.在另一台电脑输入以下网址进行管理splunk
http://ip:8000

磁盘取证Autopsy基本使用(1080p).mp4

磁盘取证Autopsy案例分析视频

该磁盘取证Autopsy视频涉及到的问题如下:

1.What is the MD5 hash of the E01 image?
E01磁盘的MD5哈希是什么？

2.What is the computer account name?
计算机帐户名是什么？

3.List all the user accounts. (alphabetical order)
列出所有用户帐户。（按字母顺序）

4.Who was the last user to log into the computer?
谁是最后一个登录计算机的用户？

5.What was the IP address of the computer?
电脑的IP地址是什么？

6.What was the MAC address of the computer? (XX-XX-XX-XX-XX-XX)
计算机的MAC地址是什么？（XX-XX-XX-XX-xxx-XX）

7.What is the name of the network card on this computer?
这台计算机上的网卡叫什么名字？

8.What is the name of the network monitoring tool?
网络监控工具的名称是什么？

9.A user bookmarked a Google Maps location. What are the coordinates of the location?
一位用户为谷歌地图的位置添加了书签。这个位置的坐标是多少？

10.A user has his full name printed on his desktop wallpaper. What is the user's full name?
一个用户的全名印在了他的桌面壁纸上。用户的全名是什么？

11.A user had a file on her desktop. It had a flag but she changed the flag using PowerShell. What was the first flag?
一位用户的桌面上有一个文件。它有一个标志，但她使用PowerShell更改了标志。第一面旗帜是什么？

12.The same user found an exploit to escalate privileges on the computer. What was the message to the device owner?
同一用户发现利用此漏洞升级计算机上的权限。给设备所有者的信息是什么？

13. 2 hack tools focused on passwords were found in the system. What are the names of these tools? (alphabetical order)
    在系统中发现了2个专注于密码的黑客工具。这些工具的名称是什么？（按字母顺序）

14.There is a YARA file on the computer. Inspect the file. What is the name of the author?
电脑上有一个YARA文件。检查文件。作者叫什么名字？

15.One of the users wanted to exploit a domain controller with an MS-NRPC based exploit. What is the filename of the archive that you found? (include the spaces in your answer)
其中一个用户想要利用基于MS-NRPC的漏洞攻击域控制器。您找到的归档文件的文件名是什么？（在你的答案中包括空格）

国外数字取证案例与镜像下载：
https://cfreds.nist.gov/all/

渗透靶场：
https://www.vulnhub.com/

应急响应

frp 是一个专注于内网穿透的高性能的反向代理应用，支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。

frp内网穿透视频学习

frp_0.38.0_linux_amd64.tar.gz下载
frp_0.38.0_windows_amd64.zip下载

素材下载

图片隐写基础以及原理参考文档

XCTF-攻防世界-密码学crypto

XCTF-攻防世界

使用linux-centos8_lamp镜像
http://ip/sqlilab
http://ip/dvwa
安装HackBar插件
sqli-labs注入靶场实例分析
使用sqlmap工具进行SQL注入

Binwalk 是一种快速、易于使用的工具，用于分析、逆向工程和提取固件映像。

binwalk firmware.bin
通过扫描能够智能的发现目标文件中包含的所有可识别的文件类型。
binwalk firmware.bin | head

binwalk -e attack.pacapng
分解出文件，使用此命令，可以无视伪加密压缩包、多分割压缩包以及其他文件分解。

binwalk -D=jpeg pcat.bin
可以指定某种类型的文件进行分解。（--dd与此命令相同，并且均支持正则表达式）
binwalk -eM pcat.bin

-M选项和--matroshak 为 递归提取，仅支持 “-e” 和 “--dd”，递归依据是根据magic签名。
binwalk --dd 'zip archive:zip:unzip %e' pcat.bin

在线CyberChef
教程1
CyberChef助你秒解混淆脚本
使用示例：
对一串16进制字符串进行解密：63 47 46 7a 63 33 64 6b 49 44 6f 67 61 32 6c 79 59 57 6c 7a 5a 58 5a 70 62 43 41 3d
首先使用“From Hex”解密二进制数据，得到如下字符：
cGFzc3dkIDoga2lyYWlzZXZpbCA=
这是base64编码格式

然后使用“From Base64”解码Base64字符串，得到信息：
passwd : kiraisevil