系统调用 - 第 13 | CN-SEC 中文网

安全文章

如何借助eBPF打造隐蔽的后门

如何借助eBPF打造隐蔽的后门eBPF技术简介Linux 内核本质上是内核驱动的，下图表现了这一过程：图片来自Cilium 项目的创始人和核心开发者在 2019 年的一个技术分享如何使用 ...

02月17日75 views评论

阅读全文

检测linux进程注入3：audit方式

通过audit方式来实时获取ptrace事件设置/etc/audit/rules.d/audit.rules来监听ptrace-a always,exit -F arch...

02月15日安全文章85 views评论

阅读全文

安全文章

绕过 EDR 挂钩

通过修补 NT API 存根并在运行时解析 SSN 和系统调用指令来绕过 EDR 挂钩https://github.com/TheD1rkMtr/UnhookingPatch原文始发于微信公众号（Kh...

02月10日74 views评论

阅读全文

Linux进程注入

本文展示进程注入的技术，可惜只是上一部分代码。作者也没有再写。译自https://www.tarlogic.com/blog/linux-process-infection-part-i/红蓝对抗中，...

02月02日安全文章42 views评论

阅读全文

操作系统/虚拟化安全知识域：保护环以及低端设备与物联网

保护环Multics引入的最具革命性的想法之一是保护环的概念——一种特权的分层，其中内环（环0）是最有特权的，并且外环的特权最低[41]。因此，不受信任的用户进程在外环中执行，而直接与硬件交互的受信任...

01月31日安全百科29 views评论

阅读全文

NSA超级后门Bvp47隐身技能：文件隐身

本文是基于北京奇安盘古实验室的《Bvp47技术报告》和Linux内核写的。哪位朋友有这个Bvp47的样本，麻烦给我分享一下，谢谢！在Linux下如何隐藏一个文件呢？方法有多种：最简单的，文件命名用.开...

01月30日安全新闻59 views评论

阅读全文

安全闲碎

60秒学会用eBPF-BCC hook系统调用

本文为看雪论坛优秀文章看雪论坛作者ID：爱吃菠菜备注1: 前面是为了格式工整, 建议直接从11 hello world开始看。备注2: 60秒指的是在Linux上, 如果是Android可能要在基础再...

01月23日35 views评论

阅读全文

云安全

【云安全系列】eBPF——提高Seccomp防护生产力

1.eBPF简介1.1 BPFBPF（Berkeley Packet Filter ），中文翻译为伯克利包过滤器，是类 Unix 系统上数据链路层的一种原始接口，提供原始链路层封包的收发。1992 年...

01月23日199 views评论

阅读全文

安全闲碎

eBPF的介绍

钩子简介eBPF程序是事件驱动，当内核或用户态程序经过一定的钩子点时运行。预定义的钩子包括系统调用、函数入口/出口、内核跟踪点、网络事件等。如果特殊场景不存在预定义钩子，ebpf程序基本上可以通过kp...

01月07日63 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2023-01-03 AEM

2023年的第一篇论文推荐是来自复旦大学系统软件与安全实验室与犹他大学徐军老师研究组，共同投稿发表于IEEE S&P 2023的一篇关于漏洞可利用性评估的论文：AEM: Facilitatin...

01月07日50 views评论

阅读全文

安全新闻

通过修补 NT API 存根并在运行时解析 SSN 和系统调用指令来绕过 EDR 挂钩

https://github.com/D1rkMtr/UnhookingPatch/tree/main/UnhookingPatch原文始发于微信公众号（Khan安全攻防实验室）：通过修补 NT AP...

01月07日17 views评论

阅读全文

CTF专场

一道SROP漏洞利用的Pwn题

本文为看雪论坛优秀文章看雪论坛作者ID：e*16 a一注意SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amste...

01月07日39 views评论

阅读全文

在线咨询

微信