想第一时间看到我们的大图推送吗?赶紧把我们设为星标吧!这样您就不会错过任何精彩内容啦!感谢您的支持!🌟 目录 0x01 基础知识 0x02 Syscall Bypass 杀软原理 0x03 利用Sys...
Linux内核解读
作者:aurelianliu工作过程中遇到的调度、内存、文件、网络等可以参考。1.os运行态X86架构,用户态运行在ring3,内核态运行在ring0,两个特权等级。(1)内核、一些特权指令,例如填充...
SSCTF-pwn450 win kernel 漏洞分析 (三)
一 前言之前没有调试过内核的漏洞,以这道题目来入个门,发现其实除了一些内核结构体之外和用户态的分析也没有太大的区别,顺便在这里总结一种很方便的在内核态调试用户态程序的方法二 内核态和用户态调试丝滑转换...
白驱动 Kill AV/EDR(上)
“ 本文是白驱动Kill AV/EDR 的第一部分,将讨论驱动开发原理,杀软/EDR 监控拦截原理,并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室 免责声明 ——...
对抗临近 | 红队大佬的私人秘籍:EDR绕过技术曝光!
一、背景 大家好,我是顺丰安全研究员观沧海,我一直致力于探索最新的威胁和攻击技术,以确保公司可以提前感知和抵御国内外最新出现的安全威胁。最近,在我进行的一...
Linux | SkidMap 内核态 Rootkit 取证分析
SkidMap是于2019年发现的一种 Linux 恶意软件,加载内核态Rootkit,来隐藏恶意挖矿活动 。它的出现也证明了加密货币挖掘威胁的复杂性在不断增加。 1.异常定位 某日,发现主机时常宕机...
云攻防课程系列(六):虚拟化安全攻防
一. 概述近日,绿盟科技星云实验室与北京豪密科技有限公司联合推出了一项云攻防技术培训课程。该课程旨在根据客户需求,为客户提供专题培训,帮助客户熟悉常见的云安全架构,并提供云攻防技术理解,同时...
G.O.S.S.I.P 阅读推荐 2022-10-08 DangZero
关于 Use-After-Free(UAF) 漏洞的检测与防护,已经有很多成熟的方案,但对于 web server 这样包含大规模计算/存储,且需要长期运行的程序来说,分析检测和防护方案如果造成了很高...
【云安全系列】eBPF——提高Seccomp防护生产力
1.eBPF简介1.1 BPFBPF(Berkeley Packet Filter ),中文翻译为伯克利包过滤器,是类 Unix 系统上数据链路层的一种原始接口,提供原始链路层封包的收发。1992 年...
eBPF的介绍
钩子简介eBPF程序是事件驱动,当内核或用户态程序经过一定的钩子点时运行。预定义的钩子包括系统调用、函数入口/出口、内核跟踪点、网络事件等。如果特殊场景不存在预定义钩子,ebpf程序基本上可以通过kp...
G.O.S.S.I.P 阅读推荐 2022-12-27 VDom
2022年倒数第四篇论文推荐是来自浙大网安投稿的关于进程内隔离的最新研究工作VDom: Fast and Unlimited Virtual Domains on Multiple Architect...
G.O.S.S.I.P 阅读推荐 2022-12-23 POPKORN
圣诞节前的最后一篇论文推送,为大家介绍的是ACSAC 2022会议上关于Windows内核驱动安全分析的研究论文 POPKORN: Popping Windows Kernel Driver...