问题背景某天想到一个常见的安全面试问题:"为什么masscan扫描快?"以往我认为是下面三点原因:使用syn扫描扫描地址随机化发包和接受包使用了性能更好的pf_ring包处理框架随着最近补了一些网络的...
03月17日5 views评论nmap
端口扫描
为什么masscan扫描快(1)?
03月17日5 views评论nmap
端口扫描
03月17日5 views评论nmap
端口扫描
[安全技术分享] 一次对Linux中IO_URING子系统的本地提权问题分析
1:简介本文将介绍去年发现的一次Linux内核IO_URING子系统修复,本文将在ubuntu上进行本地提权的内核分析。该问题已经在内核内核版本修复并合入LTS分支。2:IO_URING及文件机制IO...
03月10日3 views评论io
struct
使用Sysmon和Winlogbeat打造Windows平台的HIDS
介绍https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmonSysmon是微软的一款免费的轻量级系统监控工具。它通过系统服务和驱动程...
01月09日9 views评论invoke
注册表
技术前瞻|内核漏洞分析- CVE-2022-2602
最近曝出一个新的Linux 内核漏洞CVE-2022-2602。该漏洞是一个USE-AFTER-FREE问题,涉及IO_URING和UNIX两个模块。影响了UPSTREAM STABLE 5.4.y,...
12月28日40 views评论struct
unix
Linux Kernel 本地权限提升漏洞(CVE-2022-2602) 漏洞分析报告
近日,锦行安全团队监测到 Linux Kernel 存在本地权限提升漏洞,该漏洞为Linux Kernel的io_uring 子系统中存在释放后重用漏洞,拥有低权限的本地攻击者可以利用该漏洞将权限提升...
12月24日安全漏洞41 views评论kernel
漏洞分析
KernelCallbackTable注入方法的修改方案
背景知识众所周知,xp以后的系统,ring3进ring0的方法是通过系统快速调用也就是sysenter/sysexit或syscall/sysret实现的,而与之类似的,NT 4.0开始,微软将之前纯...
12月14日程序逆向30 views评论user
方法
攻击技术研判 | 典型BYOVD利用与Ring0防御削弱技术研判
情报背景近期来自ESET与AhnLab的研究人员发布了关于Lazarus攻击团伙恶意Rootkit的分析报告,在两个攻击链中利用了不同的合法驱动突破防御,在Ring0级完成一系列防御削弱操作,最终加载...
10月17日67 views评论技术
攻击者
收包流程与包捕获技术介绍
前言在流量分析工作中经常会使用到包捕获技术,今天结合收包流程来讨论下常见的几种包捕获技术。图解链路层收包过程网卡将数据包转移到内存Step1-3网卡驱动创建了报文描述符环形队列,并为队列中的每个描述符...
10月01日49 views评论ctor
数据包
WOW64利用技术原理分析
近来,黑客利用10多年前的“老”技术—“天堂之门”躲避监测的情况引起了众多安全研究人员的关注。为此,火眼公司专门发表了“WoW64 subsystem internals and hooking te...
06月08日57 views评论dll
操作系统
一致性哈希学习
最近总是听到一致性哈希,但是不了解具体的技术详情。今天搜索了一下,记录下来。 应用场景 这里我先描述一个极其简单的业务场景:用4台Cache服务器缓存所有Object。 那么我将如何把一个Object...
05月17日12 views评论string
安全博客
ring0下使用内核重载绕过杀软hook
首发于奇安信攻防社区: https://forum.butian.net/share/1423前言内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢?我们知...
04月07日36 views评论eax
hook
ring0下的Inline hook
首发于先知社区:https://xz.aliyun.com/t/10913前言Inline hook是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。这是相对普通的hook来说...
03月02日57 views评论file
函数