驱动程序是内核模式下的一个对象,当处于用户模式下时,需要一些中间方式来与驱动程序交互。为了做到这一点,需要看看它DEVICE_OBJECT是如何创建的。DEVICE_OBJECT通常有一个引用...
02月15日23 views评论loader
驱动程序
「内核对抗」gdrv.sys驱动漏洞分析
02月15日23 views评论loader
驱动程序
02月15日23 views评论loader
驱动程序
驱动-内核空间与内核模块
在经过前两张学习,已经掌握了最基本的如何编写一个内核程序。那么什么是内核程序呢?从运行方式上说:内核程序运行在高2G内存中,与DLL、EXE一样,都是一个PE文件结构,不过他的后缀是.sys,同时不能...
02月15日6 views评论0x01
river
0环与3环通信方式
在前面已经介绍了各种如何从3环进入0环的方式了,诸如调用们、中断门、任务门或者驱动加载方式等。那么在正常项目中0环和3环如何进行通讯呢?设备对象我们在开发窗口程序时,消息被封装成一个结构体:MSG,在...
02月09日14 views评论river
缓冲区
弱口令爆破工具 weakpass_exploit
0x01 工具介绍网站弱口令爆破小脚本,优点:绕过图形验证码,绕过前端数据加密。不足:ddddocr识别不够精确,单线程。0x02 安装与使用1、环境需要python 3.7+ddddocrselen...
02月04日28 views评论exploit
river
谷歌:疑似俄罗斯黑客组织部署新的 Spica 后门恶意软件
关键词恶意软件Bleeping Computer 网站消息,谷歌发现疑似俄罗斯支持的黑客组织 ColdRiver 正在使用伪装成 PDF 解密工具的有效载荷,推送未知的后门恶意软件 Spica。威胁攻...
01月21日10 views评论river
恶意软件
谷歌标签警告称,俄罗斯的COLDRIVER APT正在使用定制后门
ColdRiver APT(又名“希波克拉底”,“木卫四”,“星暴”,“TA446”)是一个俄罗斯网络间谍组织,自2015年以来一直针对政府官员、军事人员、记者和智囊团。过去,该团伙的活动涉及持续的网...
01月19日24 views评论river
俄罗斯
COLDRIVER黑客组织:钓鱼攻击模式更新
The Russia-linked threat actor known as COLDRIVER has been observed evolving its tradecraft to go be...
01月19日29 views评论钓鱼攻击
黑客组织
谷歌警告称,俄罗斯APT组织COLDRIVER扩大了针对西方的目标
导 读COLDRIVER 针对非政府组织、前情报和军事官员以及北约政府中的知名人士等目标,以往该组织主要通过网络钓鱼活动窃取凭据。谷歌周四警告(https://blog.google/threat-a...
01月19日12 views评论俄罗斯
恶意软件
2024-01微软漏洞通告
微软官方发布了2024年01月的安全更新。本月更新公布了53个漏洞,包含12个远程执行代码漏洞、11个信息泄露漏洞、10个特权提升漏洞、7个安全功能绕过漏洞、6个拒绝服务漏洞、3个身份假冒漏洞,其中2...
01月10日19 views评论cvss
kernel
2024年1月微软补丁日多个高危漏洞安全风险通告
漏洞背景2024年1月10日,嘉诚安全监测到Microsoft官方发布了1月份的安全更新公告,共修复了个49漏洞,漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏...
01月10日84 views评论microsoft
远程代码执行漏洞
Windows驱动中校验数字签名(使用 ci.dll)
一背景对于常规应用程序来说,校验数字签名在在应用层可以使用 WinVerifyTrust, 在驱动层使用常规的 API无法使用,自己分析数据又太麻烦。但在内核中 ci.dll 包装了数据签名验证相关的...
01月10日12 views评论river
struct
九维团队-绿队(改进)| 一次从需求到交付到调优的python脚本编写的探索
一、背景对于一名合格的网络安全从业人员来说,平时接触的工作多多少少都会涉及到一些重复的内容,无论是梳理资产还是提交漏洞,只要有通用的步骤或者操作大部分都可以通过脚本的来实现,不仅可以提高工作效率,也可...
12月27日21 views评论river
九维团队
11