揭示虚拟机可信任执行环境的隐形威胁撰文 | 王浩睿编辑 | 刘梦迪一、背景介绍随着云计算和虚拟化技术的广泛应用,越来越多的敏感数据和应用程序在虚拟机(VM)上运行。这些虚拟机由虚拟机管理程序(Hype...
内存中的幽灵:Linux系统最致命安全漏洞揭秘
在一个普通的星期二凌晨,某全球金融科技公司的高级安全分析师盯着终端屏幕,难以置信。一场大规模数据泄露刚刚发生——SSL证书、会话令牌,甚至私钥,全部被悄无声息地窃取。罪魁祸首?OpenSSL中名为He...
eBPF在Linux网络流量监控与入侵检测中的应用
Linux内核的eBPF(Extended Berkeley Packet Filter)技术,是一种轻量级的内核级别编程模型,原本用于高效的包过滤,近年来已经扩展为一种强大的工具,支持系统调用、网络...
EDR回调学习
我们都知道在用户层(R3),每一个进程都有自己的执行环境,这意味着A进程崩溃了,但是是不会影响到B进程的。 用户空间和内核空间是彼此隔离的。所以用户空间的应用程序是无法访问到内核中的结构的,除非在内核...
【A9】初探eBPF
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
GhostEmperor:通过利用内核以及ProxyLogon系列漏洞发起攻击(上)
更多全球网络安全资讯尽在邑安全在调查最近针对Exchange服务器的攻击增加时,我们注意到在几个不同的被攻击网络中出现了重复的活动集群。这个集群的突出之处在于它使用了一个以前不为人知的Windows内...
Windows EDR内核回调通知机制致盲攻击
介绍本文将讨论干扰EDR本身的内部工作方式以及它们如何连接到系统。由于能力有限,本文将仅关注 Windows 系统上EDR的攻防技术。本文主要讲述了EDR的工作原理,及如何利用内核回调通知机制来使ED...
eBPF及HTTPS明文抓包的分析
在Linux系统中,动态追踪技术一直是性能监控、故障排查和网络安全等领域的核心技术。随着技术的演进,一种名为eBPF(Extended Berkeley Packet Filter)的新兴技术逐渐崭露...
驱动-内核空间与内核模块
在经过前两张学习,已经掌握了最基本的如何编写一个内核程序。那么什么是内核程序呢?从运行方式上说:内核程序运行在高2G内存中,与DLL、EXE一样,都是一个PE文件结构,不过他的后缀是.sys,同时不能...
kernel-pwn之ret2dir利用技巧
前言ret2dir是2014年在USENIX发表的一篇论文,该论文提出针对ret2usr提出的SMEP、SMAP等保护的绕过。全称为return-to-direct-mapped memory,返回直...
浅谈EDR绕过(猫&鼠还是象棋)
扫码领资料获黑客教程免费&进群这篇文章介绍了作者去年提出的一种新方法,用于阻止EDR DLLs加载到新生成的进程中。经过几个月的努力,作者成功地实现了这个想法,并在今年的x33fcon和Tro...
基于传统以太网与RDMA技术通信过程的对比
点击上方蓝字谈思实验室获取更多汽车网络安全资讯本篇的目的是通过对比一次典型的基于TCP/IP协议栈的以太网和RDMA通信的过程,直观的展示RDMA技术相比传统以太网的优势,尽量不涉及协议和软件实现细节...