“ 本文是白驱动Kill AV/EDR 的第一部分,将讨论驱动开发原理,杀软/EDR 监控拦截原理,并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室 免责声明 ——...
对抗临近 | 红队大佬的私人秘籍:EDR绕过技术曝光!
一、背景 大家好,我是顺丰安全研究员观沧海,我一直致力于探索最新的威胁和攻击技术,以确保公司可以提前感知和抵御国内外最新出现的安全威胁。最近,在我进行的一...
Linux | SkidMap 内核态 Rootkit 取证分析
SkidMap是于2019年发现的一种 Linux 恶意软件,加载内核态Rootkit,来隐藏恶意挖矿活动 。它的出现也证明了加密货币挖掘威胁的复杂性在不断增加。 1.异常定位 某日,发现主机时常宕机...
云攻防课程系列(六):虚拟化安全攻防
一. 概述近日,绿盟科技星云实验室与北京豪密科技有限公司联合推出了一项云攻防技术培训课程。该课程旨在根据客户需求,为客户提供专题培训,帮助客户熟悉常见的云安全架构,并提供云攻防技术理解,同时...
G.O.S.S.I.P 阅读推荐 2022-10-08 DangZero
关于 Use-After-Free(UAF) 漏洞的检测与防护,已经有很多成熟的方案,但对于 web server 这样包含大规模计算/存储,且需要长期运行的程序来说,分析检测和防护方案如果造成了很高...
【云安全系列】eBPF——提高Seccomp防护生产力
1.eBPF简介1.1 BPFBPF(Berkeley Packet Filter ),中文翻译为伯克利包过滤器,是类 Unix 系统上数据链路层的一种原始接口,提供原始链路层封包的收发。1992 年...
eBPF的介绍
钩子简介eBPF程序是事件驱动,当内核或用户态程序经过一定的钩子点时运行。预定义的钩子包括系统调用、函数入口/出口、内核跟踪点、网络事件等。如果特殊场景不存在预定义钩子,ebpf程序基本上可以通过kp...
G.O.S.S.I.P 阅读推荐 2022-12-27 VDom
2022年倒数第四篇论文推荐是来自浙大网安投稿的关于进程内隔离的最新研究工作VDom: Fast and Unlimited Virtual Domains on Multiple Architect...
G.O.S.S.I.P 阅读推荐 2022-12-23 POPKORN
圣诞节前的最后一篇论文推送,为大家介绍的是ACSAC 2022会议上关于Windows内核驱动安全分析的研究论文 POPKORN: Popping Windows Kernel Driver...
使用ebpf的bcc工具对Linux内核和程序进行跟踪2:BCC介绍
BCC是第一个基于BPF的上层跟踪框架。BPF是一种在1992年开发用来提高网络包过滤性能的技术。在2003年,它被重写扩展为eBPF,在2014年引入到Linux内核。它的重写使得它变成一个通用的执...
了不起的Rootkit
什么是Rootkit?什么是Rootkit?Rootkit是一种通过破坏操作系统并隐藏在操作系统深处来逃避检测的恶意软件,通常存在于内核空间中。术语“Rootkit”来自于Unix 术语,其中“roo...
VMware Fusion 虚拟化 macOS Ventura
macOS Ventura 正式版在 10 月 24 日推送。那么作为 macOS 平台主流虚拟机之一的 VMware Fusion 对新系统的兼容性如何?首先是基于 ARM 指令的 M1 / M2 ...
5