我们都知道在用户层(R3),每一个进程都有自己的执行环境,这意味着A进程崩溃了,但是是不会影响到B进程的。 用户空间和内核空间是彼此隔离的。所以用户空间的应用程序是无法访问到内核中的结构的,除非在内核...
02月08日19 views评论edr
river
EDR回调学习
02月08日19 views评论edr
river
02月08日19 views评论edr
river
【A9】初探eBPF
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
11月07日8 views评论ebpf
struct
GhostEmperor:通过利用内核以及ProxyLogon系列漏洞发起攻击(上)
更多全球网络安全资讯尽在邑安全在调查最近针对Exchange服务器的攻击增加时,我们注意到在几个不同的被攻击网络中出现了重复的活动集群。这个集群的突出之处在于它使用了一个以前不为人知的Windows内...
10月14日12 views评论恶意软件
驱动程序
Windows EDR内核回调通知机制致盲攻击
介绍本文将讨论干扰EDR本身的内部工作方式以及它们如何连接到系统。由于能力有限,本文将仅关注 Windows 系统上EDR的攻防技术。本文主要讲述了EDR的工作原理,及如何利用内核回调通知机制来使ED...
06月19日83 views评论edr
驱动程序
eBPF及HTTPS明文抓包的分析
在Linux系统中,动态追踪技术一直是性能监控、故障排查和网络安全等领域的核心技术。随着技术的演进,一种名为eBPF(Extended Berkeley Packet Filter)的新兴技术逐渐崭露...
04月25日40 views评论ebpf
linux系统
驱动-内核空间与内核模块
在经过前两张学习,已经掌握了最基本的如何编写一个内核程序。那么什么是内核程序呢?从运行方式上说:内核程序运行在高2G内存中,与DLL、EXE一样,都是一个PE文件结构,不过他的后缀是.sys,同时不能...
02月15日9 views评论0x01
river
kernel-pwn之ret2dir利用技巧
前言ret2dir是2014年在USENIX发表的一篇论文,该论文提出针对ret2usr提出的SMEP、SMAP等保护的绕过。全称为return-to-direct-mapped memory,返回直...
07月25日33 views评论payload
空间
浅谈EDR绕过(猫&鼠还是象棋)
扫码领资料获黑客教程免费&进群这篇文章介绍了作者去年提出的一种新方法,用于阻止EDR DLLs加载到新生成的进程中。经过几个月的努力,作者成功地实现了这个想法,并在今年的x33fcon和Tro...
07月20日67 views评论shellcode
恶意软件
基于传统以太网与RDMA技术通信过程的对比
点击上方蓝字谈思实验室获取更多汽车网络安全资讯本篇的目的是通过对比一次典型的基于TCP/IP协议栈的以太网和RDMA通信的过程,直观的展示RDMA技术相比传统以太网的优势,尽量不涉及协议和软件实现细节...
06月19日53 views评论socket
以太网
KernelSU Android上基于内核的Root方案
KernelSU是Android上基于内核的Root方案KernelSU是Android GKI设备的Root解决方案,它工作在内核模式,并直接在内核空间中为用户空间应用程序授予Root权限Kerne...
03月11日219 views评论kernelsu
root权限