创建具有已知大小的结构有时候你知道结构的大小,但实际布局还不清楚。例如,当为结构分配的内存大小是固定(malloc(0x598))的时候:在这种情况下,你可以快速地创建一个 dummy 结构,然后在分...
反rootkit技术
基础知识如果你正在开发rootkit,但是你没有已知的有效证书来签署签名,那么就只能手动映射rootkit。手动映射驱动程序的概念类似于反射 PE 加载的概念。不是从磁盘加载程序,而是手动将其映像布置...
从零开始,掌握CVE漏洞复现技能
想要成为一名优秀的漏洞挖掘工程师吗?想要掌握CVE复现能力,提升自己的实战能力吗?想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗?《CVE复现漏洞精讲-从基础到入门》带你走进...
防拆技术和缓解措施
反汇编程序的工作原理最简单的反汇编程序超级简单,但它们也可能非常复杂。更高级的反汇编器会尝试识别函数(可能具有倍数返回)、跳转表等习语,并且不会被反汇编技巧所欺骗。它们分为两大类。线性 - 按顺序分解...
一个基于Ring 3 的rootkit
首先先科普用户态内核态两者的在指令上的区别 一般来说,ring0权限下开放的指令有:IO读写、网卡访问、申请内存、访问硬件资源。一般来说,ring3权限下开放的指令有:普通的计算指令等两者在空间权限...
0day 2期-更新第7章:Windows服务漏洞原理讲解
本周更新7.1:理解rpc/com接口漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为...
二进制安全之自控制流劫持混淆及其恢复研究
控制流劫持攻击是一种通过构造特定攻击载体来非法篡改进程中的控制数据、从而改变进程的控制流程并执行特定恶意代码的攻击方式。在CTF各方向中,一般是PWN方向的题目中常包含的知识点,入门类型的PWN题目中...
Windows 主机入侵检测与防御内核技术深入解析
第3章微过滤驱动与模块执行防御(上)微软在Windows的内核中提供了一套进行文件系统过滤驱动开发的标准接口。利用这套接口开发出来的驱动程序即为微过滤驱动(minifilter driver)。微过滤...
【免杀】干货集锦,让你游刃有余!
前言 免杀技术一直是许多安全从业者感兴趣的热门话题。然而,网上关于免杀技术的资料繁杂且时效性不足,很多技术都是几年前的,已经不再适用。为了方便大家学习,我们汇总了网上现有的...
Linux Kprobe原理探究
之前在分析其他安全厂商App的防护策略时,想要设计个风控分析沙盒来实现对于App行为的全面监控,包括: ◆App访问、操作了哪些文件 ◆执行了哪些操作 ◆对于相关操作进行针对性的修改等等 其中很棘手的...
IDA 技巧(11)玩转结构体!
快速创建结构体在逆向工程大型程序时,通常会遇到存储在结构中的信息。标准的做法是使用“结构体”窗口,逐个添加字段,类似于在反汇编中格式化数据项的方式。但是,还有其他选择吗?让我们看看其中一些。使用已经格...
Windows | AV/EDR对抗之BYOVD技术
BYOVD为Bring Your Own Vulnerable Driver缩写,该缩写为业内共识,解释为向目标环境植入一个带有漏洞的合法驱动程序,利用驱动漏洞获得内核权限,实现任意代码执行或终止任意...
116