用户态 - 第 3 | CN-SEC 中文网

程序逆向

白驱动 Kill AV/EDR（上）

“ 本文是白驱动Kill AV/EDR 的第一部分，将讨论驱动开发原理，杀软/EDR 监控拦截原理，并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室免责声明 ——...

12月19日48 views评论

阅读全文

HW&HVV

对抗临近 | 红队大佬的私人秘籍：EDR绕过技术曝光！

一、背景大家好，我是顺丰安全研究员观沧海，我一直致力于探索最新的威胁和攻击技术，以确保公司可以提前感知和抵御国内外最新出现的安全威胁。最近，在我进行的一...

06月21日221 views评论

阅读全文

取证分析

Linux | SkidMap 内核态 Rootkit 取证分析

SkidMap是于2019年发现的一种 Linux 恶意软件，加载内核态Rootkit，来隐藏恶意挖矿活动。它的出现也证明了加密货币挖掘威胁的复杂性在不断增加。 1.异常定位某日，发现主机时常宕机...

05月16日318 views评论

阅读全文

云安全

云攻防课程系列（六）：虚拟化安全攻防

一. 概述近日，绿盟科技星云实验室与北京豪密科技有限公司联合推出了一项云攻防技术培训课程。该课程旨在根据客户需求，为客户提供专题培训，帮助客户熟悉常见的云安全架构，并提供云攻防技术理解，同时...

05月15日35 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2022-10-08 DangZero

关于 Use-After-Free（UAF）漏洞的检测与防护，已经有很多成熟的方案，但对于 web server 这样包含大规模计算/存储，且需要长期运行的程序来说，分析检测和防护方案如果造成了很高...

01月31日49 views评论

阅读全文

云安全

【云安全系列】eBPF——提高Seccomp防护生产力

1.eBPF简介1.1 BPFBPF（Berkeley Packet Filter ），中文翻译为伯克利包过滤器，是类 Unix 系统上数据链路层的一种原始接口，提供原始链路层封包的收发。1992 年...

01月23日200 views评论

阅读全文

安全闲碎

eBPF的介绍

钩子简介eBPF程序是事件驱动，当内核或用户态程序经过一定的钩子点时运行。预定义的钩子包括系统调用、函数入口/出口、内核跟踪点、网络事件等。如果特殊场景不存在预定义钩子，ebpf程序基本上可以通过kp...

01月07日64 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2022-12-27 VDom

2022年倒数第四篇论文推荐是来自浙大网安投稿的关于进程内隔离的最新研究工作VDom: Fast and Unlimited Virtual Domains on Multiple Architect...

12月28日170 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2022-12-23 POPKORN

圣诞节前的最后一篇论文推送，为大家介绍的是ACSAC 2022会议上关于Windows内核驱动安全分析的研究论文 POPKORN: Popping Windows Kernel Driver...

12月24日61 views评论

阅读全文

安全闲碎

使用ebpf的bcc工具对Linux内核和程序进行跟踪2:BCC介绍

BCC是第一个基于BPF的上层跟踪框架。BPF是一种在1992年开发用来提高网络包过滤性能的技术。在2003年，它被重写扩展为eBPF，在2014年引入到Linux内核。它的重写使得它变成一个通用的执...

12月16日174 views评论

阅读全文

安全百科

了不起的Rootkit

什么是Rootkit？什么是Rootkit？Rootkit是一种通过破坏操作系统并隐藏在操作系统深处来逃避检测的恶意软件，通常存在于内核空间中。术语“Rootkit”来自于Unix 术语，其中“roo...

12月02日114 views评论

阅读全文

安全闲碎

VMware Fusion 虚拟化 macOS Ventura

macOS Ventura 正式版在 10 月 24 日推送。那么作为 macOS 平台主流虚拟机之一的 VMware Fusion 对新系统的兼容性如何？首先是基于 ARM 指令的 M1 / M2 ...

10月29日405 views1

阅读全文

白驱动 Kill AV/EDR（上）

对抗临近 | 红队大佬的私人秘籍：EDR绕过技术曝光！

Linux | SkidMap 内核态 Rootkit 取证分析

云攻防课程系列（六）：虚拟化安全攻防

G.O.S.S.I.P 阅读推荐 2022-10-08 DangZero

【云安全系列】eBPF——提高Seccomp防护生产力

eBPF的介绍

G.O.S.S.I.P 阅读推荐 2022-12-27 VDom

G.O.S.S.I.P 阅读推荐 2022-12-23 POPKORN

使用ebpf的bcc工具对Linux内核和程序进行跟踪2:BCC介绍

了不起的Rootkit

VMware Fusion 虚拟化 macOS Ventura

在线咨询

微信