在经过前两张学习,已经掌握了最基本的如何编写一个内核程序。那么什么是内核程序呢?从运行方式上说:内核程序运行在高2G内存中,与DLL、EXE一样,都是一个PE文件结构,不过他的后缀是.sys,同时不能...
检测LKM Rootkit的processdecloak
【一、楔子】:趋势科技于 2022 年 5 月记录了Reptile Rootkit 的首次使用,涉及追踪为 Earth Berberoka的入侵。该入侵集被发现使用该恶意软件来隐藏与跨平台 Pytho...
Linux | 揭秘SkidMap Rootkit复杂挖矿活动(一)
今年6月,SkidMap又开始新一轮挖矿活动,攻击手段相较于以前更加复杂。SkidMap挖矿家族存在两种主要的变体,目标分别为Debian/Ubuntu 和 RedHat/CentOS,根据不同的版本...
netlink实时获取网络信息原理分析
最近在做主机侧网络连接相关的调研,发现通过 linux 自带的netlink能实时获取网络连接五元组信息,可以用于网络活动可视化、异常连接检测、安全策略优化以及审计等功能,但网络上找到的相关文章不多,...
九维团队-青队(处置)| 使用内存取证检测高级恶意软件(三)
写在前边1.本文原文为K A, Monnappa. 2018年发表的《Learning Malware Analysis》的章节选段,本文均为译者对相关内容的翻译及实践记录,仅供各位学术交流使用。另出...
LKM Linux rootkit之Reptile分析二
Reptile内核模块分析 这篇文章分析一下内核模块部分,这部分主要功能就两个字:隐藏。通过前边的文章,知道了是通过cmd文件控制是否隐藏文件、模块、进程、网络连接等等。cmd模块是运行在用...
Linux持久化实操
BIOS启动 BIOS(Basic Input Output System),可以理解为是烧录到计算机内主板上的一段程序(主板上的一个黑色的小芯片),这个程序它可以读写COMS中...
CVE-2022-2639:Linux Kernel openvswitch提权漏洞
上方蓝色字体关注我们,一起学安全!作者:bnlbnf@Timeline Sec本文字数:846阅读时长:2~3min声明:仅供学习参考使用,请勿用作违法用途,否则后果自负0x01 简介Open vSw...
西工大遭网袭细节起底:网安技术武器化分析
0X01事件背景2016年,名为The Shadow Broker(影子经纪人)的黑客组织泄露了部分美国国家安全局(NSA)方程式组织(Equation Group)的工具,具备在当时的互联网上为所欲...
Linux rootkit Syslogk的分析
介绍Rootkit一旦安装,一般很难被发现。它们的代码通常比其它恶意软件更难编写,因此开发人员会复制开源项目的代码。Adore-Ng是一个相对较旧的开源 Linux 内核 rootkit,最初针对的是...
在 Android 中使用 eBPF:开篇
若干年前,我还在做 Android 客户端性能优化的时候,读到了 OpenResty 作者章亦春老师的文章:动态追踪技术漫谈[1],当时被深深地震撼到了,原来通过使用各种高级的调试技术,解决问题竟然可...
Android系统中使用eBPF
若干年前,我还在做 Android 客户端性能优化的时候,读到了 OpenResty 作者章亦春老师的文章:动态追踪技术漫谈[1],当时被深深地震撼到了,原来通过使用各种高级的调试技术,解决问题竟然可...
4