0x00 前言

　　本文记录基于兜哥《Web安全之深度学习实战》、论文《A Semantic Approach to Host-Based Intrusion Detection Systems Using Contiguous and Discontiguous System Call Patterns》和数据集ADFA-LD，利用机器学习解决信息安全问题。

2018-3-8 更新
　　向大佬、大厂学习信息安全。包括安全资讯媒体、技术论坛、博客、微博、公众号、推特

前排大厂干货

　　腾讯玄武实验室
微信公众号：XuanwuLab，博客：xlab.tencent.com
　　360网络安全研究院
微信公众号：NetLab_360，博客：netlab.360.com

0x00 公共资源

安全资讯

　　FreeBuf 黑客与极客,国内关注度最高的全球互联网安全媒体平台,同时也是爱好者们交流与分享安全技术的最佳社区。
　　安全客 为广大安全爱好者和安全从业人员提供权威信息发布的漏洞信息,最新的安全资讯,最全的安全知识和精彩的安全活动直播。
　　SeccWiki 致力于提供最新、最专业的安全资讯分享平台,方便安全人员获取安全事件、精品技术文章、技术专题。

技术论坛

　　看雪论坛 致力于PC、移动、智能设备安全研究及逆向工程的开发者社区。
　　吾爱破解 论坛致力于软件安全与病毒分析的前沿,丰富的技术版块交相辉映,由无数热衷于软件加密解密及反病毒爱好者共同维护
　　卡饭论坛 杀软测评，样本下载

0x00 说明

　　改自开源项目dHydra，因需求原因只提取其中行情订阅的部分。由于需要订阅全部股票，所以改为C#版本以提升性能。

0x01 新浪登录

　　新浪不在提供L2，所以(太懒)没内容了，抱歉。

0x00 背景

　　接到妹纸电话，问我会不会使用按键精灵，帮她到一个网站上刷题。
　　我会！！！
　　妹纸提供的方案是用按键精灵实现每个题都选C，然后提交，但在实际使用过程中出现了以下问题：
　　(1)有些题并没有C选项
　　(2)选择答案按钮，提交按钮和下一题按钮的位置随题干和解析的长度变换，位置不固定
　　(3)该做题系统应该是部署在内网的，妹纸给的外网地址访问奇慢无比，经常掉线
　　由于以上原因，我认为无法通过按键精灵的方法达到500分(回答正确一题得0.2分)，所有决定采取其他的方法。

0x00 概要

　　记录通过从linux传输文件到windows的辛酸历程。

0x01 向ascii说不

　　ASCII码一共规定了128个字符的编码，比如空格”SPACE”是32（二进制00100000），大写的字母A是65（二进制01000001）。这128个符号（包括32个不能打印出来的控制符号），只占用了一个字节的后面7位，最前面的1位统一规定为0。128个字符对于英文来说足够了，但对于中文来说是远远不够的。当接收文件名中包含中文的文件时，在创建文件的过程中易出现IOError: [Errno 22] invalid mode (‘r’) or filename这样的错误。python 2.7 默认编码为ascii。

0x00 简单说明

　　作为机器学习小白，看了一段时间的coursera上Andrew Ng的视频，感觉还是难以入门，所以报名参加阿里天池上的比赛将理论和实践结合来提高姿势。题目是公交线路客流预测，所给的数据中并没有将乘客数量统计出来，需要自己对数据进行统计。先是自己写个python来统计分析数据(大概900M)，但跑了一晚上，发现太慢，在网上搜索到了pandas库，不到半个小时就统计完成。

0x01 数据提取

　　pandas.read_csv可按照一定的格式打开txt、csv文件。read_csv可选参数很多，全部参数请看官方文档，这里我只记录我觉得有用的和我用到的参数。

0x00 初探

　　提取百度主页html

1
2
3
4
5
6

#coding=utf8
import urllib2
if __name__ == '__main__':
    url = 'http://www.baidu.com'
    print urllib2.urlopen(url).read()

0x01 cookie&timeout

　　提取新浪微博“weibo.com/u/1000000002”出错，分析返回的html，请教同学后，猜测可能是没有加入cookie的原因用burpsuite拦截抓包，提取cookie:SUBP=0033W…….。也可用浏览器访问，保存cookie，然后提取。

1
2
3
4
5
6
7
8

#coding=utf8
import urllib2
if __name__ == '__main__':
    url = 'http://weibo.com/u/1000000002'
    rep = urllib2.Request(url)
    rep.add_header('cookie','你的cookie')
    print urllib2.urlopen(rep).read()

　　遍历获取weibo信息时,会出现卡死在urlopen，加入timeout解决此问题

1

print urllib2.urlopen(rep,timeout=10).read()

参考资料：
Python 标准库 urllib2 的使用细节

0x00 说明

　　最先在网上copy的代码，能捕获U盘插入的消息，但不能捕获其他USB设备的消息，且无法获取U盘dbcc_name，多次询问度娘后终于找到正确的姿势，通过RegisterDeviceNotification注册DBT_DEVTYP_DEVICEINTERFACE，获取所有USB类设备的通知。

0x01 WM_DEVICECHANGE

　　查询MSDN[WM_DEVICECHANGE message],当设备或电脑的硬件配置发生改变时，会给每一个顶层窗口发通知，窗口通过WindowPro接收这个消息。WindowPro中的wParam参数告诉我们是具体是发生了什么事件，即设备或电脑的硬件配置发生了怎样的变化;lParam参数包含了一些设备具体的信息（wParam不同，对应的lParam也有一点的变化）。如果有U盘插入（这里为什么说是U盘而不是USB设备将会在后面进行说明），wParam=DBT_DEVICEARRIVAL,lParam中包含了U盘的盘符信息。
　　有了上述信息，我们可自己创建一个顶层窗口来接WM_DEVICECHANGE消息。首先定义一个WindowPro函数，当message参数为WM_DEVICECHANGE，wParam参数为DBT_DEVICEARRIVAL时，即表示有U盘插入。

0x00 背景

　　HackingTeam泄漏事件影响颇大，415.77G的内容大多是邮件内容，分析起来比较麻烦，因而被大多数人忽略。网上有很多邮件分析的文章HT邮件分析,主要是针对邮件关联进行分析，若对邮件内容进行分析则需提取邮件附件中的内容，再针对内容做进一步分析。本文背景其实与上文无关，只是借此提升逼格，下面将介绍如何利用acrobat SDK提取pdf文档内容。

0x01 acrobat导入

　　只要安装了Adobe Acrobat，就能在其安装目录下找到acrobat.tlb，其中包含了adobe公司提供的接口,可对pdf进行各种操作参考文档，使用类向导将其导入。
　　提取文本内容需导入CAcroApp、CAcroAVDoc、CAcroAVPageView、CAcroPDPage、CAcroPDTextSelect、CAcroHiliteList。

0x00 写在前面

　　当我们将U盘插入windows主机时，会提示安装驱动，那么windows是如何判断应该安装哪个版本的驱动的呢？在这里将用到设备的身份信息，包括厂商、型号、序列号等。大概半年前做了一个关于设备检测的小工程，看了很多资料和帖子，将获取设备身份信息的方法在此记录，方便以后使用。

0x01 USB设备有哪些身份信息

　　根据USB规范中的说明USB规范官方文档，供应商ID(VID)/产品识别码(PID)唯一标识一个设备，VID和PID都是两个字节长，其中，供应商ID（VID）由供应商向USB执行论坛申请，每个供应商的VID是唯一的，PID由供应商自行决定，理论上来说，不同的产品、相同产品的不同型号、相同型号的不同设计的产品最好采用不同的PID，以便区别相同厂家的不同设备。