用户态 | CN-SEC 中文网

安全闲碎

初探eBPF

前言由Linux基金会维护的ebpf.io网站[1]写到：eBPF是Linux中的一项革命性技术，可以在操作系统内核中运行沙箱程序。它可以在无需修改内核代码或加载内核模块的条件下安全有效地扩展内核能力...

02月15日10 views评论

阅读全文

恶意样本动态分析-上

安全分析与研究专注于全球恶意软件的分析与研究分析恶意样本一般采用静态分析+动态调试相结合的方法，前面我们讲了静态分析工具以及方法，现在开始动态调试基础知识的学习动态调试，分为用户态和内核态，调试工具也...

02月09日程序逆向11 views评论

阅读全文

安全文章

Windows Sockets 从注册 I/O 到 SYSTEM 权限提升

Windows Sockets From Registered IO to SYSTEM Privileges概述本文讨论了 CVE-2024-38193，这是 Windows 驱动程序 afd.sy...

01月09日18 views评论

阅读全文

安全文章

cve-2024-26229 漏洞分析

原文首发在：奇安信攻防社区https://forum.butian.net/share/3101CSC 漏洞分析前几日，有人在github中放出了CVE-2024-26229的利用脚本，这里我们就借此...

12月15日4 views评论

阅读全文

安全百科

对Windows系统机制一知半解？内核DLL详解助你打通任督二脉

引言在Windows系统中，DLL（Dynamic Link Library，动态链接库）作为一种特殊的PE（Portable Executable，可移植可执行）文件，不仅在用户态扮演着重要角色，在...

12月03日11 views评论

阅读全文

CTF专场

PWN入门：险走未知内存布局-BROP

BROP介绍BROP的全称是Bind ROP，之在不知道程序内存布局的情况下完成ROP攻击，在这里BROP有两个基础的要求，一是程序在崩溃后自带重新启动，二是重新启动后内存布局不会发生变化。有了这两个...

11月22日18 views评论

阅读全文

安全文章

初探Linux内核eBPF之恶意程序行为监控

0x00 关于eBPFeBPF是BPF技术的一个扩展，而BPF (Berkeley Packet Filter) 是一种内核技术，最初用于高效过滤网络数据包。它可以让操作系统内核从用户空间接收过滤规则...

11月06日23 views评论

阅读全文

安全文章

Linux进程伪装(二)：进程名&&命令行

前言进程伪装在笔者看来是一种拖延战术，通过伪造恶意进程的相关信息，绕过一些基于进程静态信息的检测防御手段，使其被防守者初步判定为正常进程，混淆防守者视线，为扩大攻击战果尽可能的拖延时间。在Linu...

11月04日58 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2024-11-01 交叉火线—对苹果设备跨异构计算单元内存的模糊测试

今天为大家推荐的论文来自浙江大学网络空间安全学院申文博老师研究组与中关村实验室、美国哥伦比亚大学、薮猫科技合作完成并投稿的，发表在CCS 2024上的最新研究论文CrossFire: Fuzzing ...

11月01日42 views评论

阅读全文

安全文章

无文件攻击利用与防范

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

10月14日47 views评论

阅读全文

移动安全

eBPF开上帝模式！设备指纹修改、反ROOT检测、反Frida检测、抓包带来新的玩法

在研究eBPF的这一年时间里，一直有小伙伴会问如下问题：eBPF是什么，能干啥，在安全开发与逆向中能干啥？eBPF能做改机么，能脱壳么，能抓包么，能用来过Frida检测么？eBPF与Frida一样么，...

10月07日92 views评论

阅读全文

程序逆向

Fuzzer开发 2：沙盒化系统调用

一介绍如果你还不知道，我们最近在博客上开发了一个模糊测试工具。我甚至不确定“模糊测试器”这个词是否合适来形容我们正在构建的东西，它几乎更像是一个暴露钩子的执行引擎？无论如何，如果你错过了第一集，你可以...

10月04日21 views评论

阅读全文

初探eBPF

恶意样本动态分析-上

Windows Sockets 从注册 I/O 到 SYSTEM 权限提升

cve-2024-26229 漏洞分析

对Windows系统机制一知半解？内核DLL详解助你打通任督二脉

PWN入门：险走未知内存布局-BROP

初探Linux内核eBPF之恶意程序行为监控

Linux进程伪装(二)：进程名&&命令行

G.O.S.S.I.P 阅读推荐 2024-11-01 交叉火线—对苹果设备跨异构计算单元内存的模糊测试

无文件攻击利用与防范

eBPF开上帝模式！设备指纹修改、反ROOT检测、反Frida检测、抓包带来新的玩法

Fuzzer开发 2：沙盒化系统调用

在线咨询

微信