BCC是第一个基于BPF的上层跟踪框架。BPF是一种在1992年开发用来提高网络包过滤性能的技术。在2003年,它被重写扩展为eBPF,在2014年引入到Linux内核。它的重写使得它变成一个通用的执...
了不起的Rootkit
什么是Rootkit?什么是Rootkit?Rootkit是一种通过破坏操作系统并隐藏在操作系统深处来逃避检测的恶意软件,通常存在于内核空间中。术语“Rootkit”来自于Unix 术语,其中“roo...
VMware Fusion 虚拟化 macOS Ventura
macOS Ventura 正式版在 10 月 24 日推送。那么作为 macOS 平台主流虚拟机之一的 VMware Fusion 对新系统的兼容性如何?首先是基于 ARM 指令的 M1 / M2 ...
安全动态|Black Hat Asia 2022 USMA漏洞利用方案的实践
前情提要今年360漏洞研究院在Blackhat Asia 2022上发表了议题《USMA:用户态映射攻击》的演讲。研究院分享了Linux平台下一种新型内核漏洞利用方法。这种方法打破了常规的漏洞利用思路...
攻击技术研判 | Symbiote共生体-利用eBPF技术的高隐匿Rootkit
情报背景Symbiote意为“共生体”,区别于一般的恶意程序,Symbiote没有独立的二进制,而是以共享库so文件的形式寄生于受感染的进程中。作为一个用户态Rootkit,Symbiote从文件、进...
基础研究 | Go语言:goroutine 的副作用
作者 | Aklis@靖云实验室来源 | 实战攻防Golang 和方便的 goroutine一个 goroutine 是特指的是被 Golang runtime 所管理的用户态线程,用户态线程也称协程...
eCapture:无需CA证书抓https网络明文通讯
eCapture介绍 eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。 项目在2022年3月中旬创建,一经发布,广受大家喜爱,至今...
简易版TCP实现Http Chunk
最近半年个人工作,生活变动比较大,所以不太活跃,目前正在调整中~ 为什么实现简易版用户态TCP: 为了给我的资产监控添加用户态tcp扫描功能,加快扫描速度,多快好省 实现构造畸报文的方式绕过网络设备,...
eCapture是基于eBPF技术实现用户态数据捕获无需CA证书抓https网络明文通讯
eCapture介绍eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。项目在2022年3月中旬创建,一经发布,广受大家喜爱,至今不到...
腾讯安全科恩实验室Black Hat USA 2018预告(二):iOS越狱细节揭秘
在昨天的推送中,我们为大家介绍了腾讯安全科恩实验室入选Black Hat的议题一《穿云拨雾:对特斯拉汽车网关、车身控制模块以及辅助驾驶(Autopilot)ECU的渗透测试》。今天我们为大家继续带来议...
简易版TCP实现Http Chunk
最近半年个人工作,生活变动比较大,所以不太活跃,目前正在调整中~为什么实现简易版用户态TCP:为了给我的资产监控添加用户态tcp扫描功能,加快扫描速度,多快好省实现构造畸报文的方式绕过网络设备,满足一...
Windows本地提权漏洞(CVE-2021-1732)
漏洞01 漏洞环境攻击机:192.168.75.195目标:192.168.75.250工具:exp,msf版本:Windows 10 Version 190902漏洞介绍该漏洞由函数win...
3