编者按本次介绍的论文使用静态分析与模糊测试相结合的方法,针对虚拟机监视器(Hypervisor)中虚拟设备DMA相关的漏洞进行挖掘。论文发表于软件工程顶级会议ASE 2023,作者团队来自于中国科学院...
【实战】记一次项目上向日葵BypassAV
OS-SHELL却无法bypassAV发现有向日葵,于是读取向日葵配置文件,发现是新版,寄所以这里利用了最新版本的获取验证码和识别码,参考:https://mp.weixin.qq.com/s/yfK...
Frida开启PC端小程序调试模式
免责声明: 本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承...
使用frida在A64下内存读写断点的简单实现
一 前言 很早之前看过一篇帖子,使用frida的API。 Process.setExceptionHandler(callback) 实现内存读写断点,但是由于mprotect函数只能对一整页的内存属...
分析哥斯拉内存加载Jar技术
背景哥斯拉在第一版的时候就提供了一个黑魔法:内存加载Jar功能。从当时的介绍来看,这个功能本来是为上传数据库驱动用的,后面配合JNA可以实现无文件加载ShellCode,一切都在内存中执行,大大扩展了...
warmup挖矿木马处置手册
收不到推送的小伙伴,记得星标公众号哦! 上周帮客户处理清除挖矿木马,特此记录。 木马脚本地址 : http://5.133.65.53/soft/linux/somescript 之前hw有过类似案例...
Java安全之类加载分析
前言 Java类加载是Java虚拟机(JVM)将类的字节码文件加载到内存,并在运行时动态创建类的过程。类加载是Java语言的核心机制之一,对于理解Java程序的执行过程至关重要。本文将介绍Java类加...
Cobalt Strike与YARA:我能拥有你的签名吗?
点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】...
WebLogic + Shiro 反序列化一键注册filter内存shell
遇到的目标shiro不存在可用的gadget,但是探测出他的key为默认的kPH+bIxk5D2deZiIxcaaaA==,通过404报错页面发现是WebLogic,通过CVE-2020-2883的g...
PCI总线初始化过程(linux-2.4.0内核中的pci_init()函数分析)
一PCI初始化的主要目标PCI设备(包括PCI桥),与主板之间的连接关系为:设备-[(PCI次层总线)-(PCI-PCI桥)]*-{(PCI主总线)-(宿主-PCI桥)}-主板(*表示0或多层)。总之...
Windows 之 CRT的检测内存泄露
一 使用方法 使用方法非常简单,首先定义宏_CRTDBG_MAP_ALLOC,然后包含头文件crtdbg.h,最后在main函数结尾调用_CrtDumpMemoryLeaks统计内存申请和释放的情况。...
基于Win32k内核提权漏洞的攻防对抗
一、产生原因 1.1Callback机制 Win32k组件最初的设计和编写是完全建立的用户层上的,但是微软在 Windows NT 4.0 的改变中将 Win32k.sys 作为改变的一部分而引入,用...