关于 Use-After-Free(UAF) 漏洞的检测与防护,已经有很多成熟的方案,但对于 web server 这样包含大规模计算/存储,且需要长期运行的程序来说,分析检测和防护方案如果造成了很高...
01月31日7 views评论uaf
用户态
G.O.S.S.I.P 阅读推荐 2022-10-08 DangZero
01月31日7 views评论uaf
用户态
01月31日7 views评论uaf
用户态
【云安全系列】eBPF——提高Seccomp防护生产力
1.eBPF简介1.1 BPFBPF(Berkeley Packet Filter ),中文翻译为伯克利包过滤器,是类 Unix 系统上数据链路层的一种原始接口,提供原始链路层封包的收发。1992 年...
01月23日18 views评论云安全
数据包
eBPF的介绍
钩子简介eBPF程序是事件驱动,当内核或用户态程序经过一定的钩子点时运行。预定义的钩子包括系统调用、函数入口/出口、内核跟踪点、网络事件等。如果特殊场景不存在预定义钩子,ebpf程序基本上可以通过kp...
01月07日13 views评论ebpf
字节码
G.O.S.S.I.P 阅读推荐 2022-12-27 VDom
2022年倒数第四篇论文推荐是来自浙大网安投稿的关于进程内隔离的最新研究工作VDom: Fast and Unlimited Virtual Domains on Multiple Architect...
12月28日13 views评论用户态
虚拟化
G.O.S.S.I.P 阅读推荐 2022-12-23 POPKORN
圣诞节前的最后一篇论文推送,为大家介绍的是ACSAC 2022会议上关于Windows内核驱动安全分析的研究论文 POPKORN: Popping Windows Kernel Driver...
12月24日9 views评论tee
用户态
使用ebpf的bcc工具对Linux内核和程序进行跟踪2:BCC介绍
BCC是第一个基于BPF的上层跟踪框架。BPF是一种在1992年开发用来提高网络包过滤性能的技术。在2003年,它被重写扩展为eBPF,在2014年引入到Linux内核。它的重写使得它变成一个通用的执...
12月16日35 views评论ebpf
开发人员
了不起的Rootkit
什么是Rootkit?什么是Rootkit?Rootkit是一种通过破坏操作系统并隐藏在操作系统深处来逃避检测的恶意软件,通常存在于内核空间中。术语“Rootkit”来自于Unix 术语,其中“roo...
12月02日22 views评论windows
攻击者
VMware Fusion 虚拟化 macOS Ventura
macOS Ventura 正式版在 10 月 24 日推送。那么作为 macOS 平台主流虚拟机之一的 VMware Fusion 对新系统的兼容性如何?首先是基于 ARM 指令的 M1 / M2 ...
10月29日169 views评论macos
vmware
安全动态|Black Hat Asia 2022 USMA漏洞利用方案的实践
前情提要今年360漏洞研究院在Blackhat Asia 2022上发表了议题《USMA:用户态映射攻击》的演讲。研究院分享了Linux平台下一种新型内核漏洞利用方法。这种方法打破了常规的漏洞利用思路...
08月24日45 views评论方法
漏洞利用
攻击技术研判 | Symbiote共生体-利用eBPF技术的高隐匿Rootkit
情报背景Symbiote意为“共生体”,区别于一般的恶意程序,Symbiote没有独立的二进制,而是以共享库so文件的形式寄生于受感染的进程中。作为一个用户态Rootkit,Symbiote从文件、进...
07月20日7 views评论ebpf
字节码
基础研究 | Go语言:goroutine 的副作用
作者 | [email protected]靖云实验室来源 | 实战攻防Golang 和方便的 goroutine一个 goroutine 是特指的是被 Golang runtime 所管理的用户态线程,用户态线程也称协程...
07月20日15 views评论go
操作系统
eCapture:无需CA证书抓https网络明文通讯
eCapture介绍 eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。 项目在2022年3月中旬创建,一经发布,广受大家喜爱,至今...
07月01日20 views评论apt
https