系统调用 - 第 13 | CN-SEC 中文网

云安全

【云安全系列】eBPF——提高Seccomp防护生产力

1.eBPF简介1.1 BPFBPF（Berkeley Packet Filter ），中文翻译为伯克利包过滤器，是类 Unix 系统上数据链路层的一种原始接口，提供原始链路层封包的收发。1992 年...

01月23日199 views评论

阅读全文

安全闲碎

eBPF的介绍

钩子简介eBPF程序是事件驱动，当内核或用户态程序经过一定的钩子点时运行。预定义的钩子包括系统调用、函数入口/出口、内核跟踪点、网络事件等。如果特殊场景不存在预定义钩子，ebpf程序基本上可以通过kp...

01月07日62 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2023-01-03 AEM

2023年的第一篇论文推荐是来自复旦大学系统软件与安全实验室与犹他大学徐军老师研究组，共同投稿发表于IEEE S&P 2023的一篇关于漏洞可利用性评估的论文：AEM: Facilitatin...

01月07日47 views评论

阅读全文

安全新闻

通过修补 NT API 存根并在运行时解析 SSN 和系统调用指令来绕过 EDR 挂钩

https://github.com/D1rkMtr/UnhookingPatch/tree/main/UnhookingPatch原文始发于微信公众号（Khan安全攻防实验室）：通过修补 NT AP...

01月07日17 views评论

阅读全文

CTF专场

一道SROP漏洞利用的Pwn题

本文为看雪论坛优秀文章看雪论坛作者ID：e*16 a一注意SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amste...

01月07日38 views评论

阅读全文

安全闲碎

Win11 23H2的发布会让彻底杜绝KASLR绕过吗？

微软最近的精力主要放在了Win11 22H2年度更新上了，正式版本预计要到明年9月底正式发布，现在已经大量推送。近年来，微软下大力缓解和修复特定的恶意软件或漏洞，增加了大量的缓解措施，如零初始化池分配...

01月03日37 views评论

阅读全文

安全文章

一种Linux下ptrace隐藏注入shellcode技术和防御方法

一、前言Unix和类Unix操作系统提供的ptrace系统调用支持一个进程控制另一个进程，常被用于程序调试、分析和监测工具，例如gdb、strace等。通过ptrace可以查看和修改被控制进程的内部状...

12月08日46 views评论

阅读全文

安全文章

ATT&CK框架_操作系统凭据转储：LSASS内存

0x01基础信息具体信息详情ATT&CK编号T1003-001所属战术阶段凭据访问操作系统windows 7 旗舰版 SP1监测平台火绒安全、火绒剑、sysmon0x02技术原理攻击者可能会尝...

12月03日231 views评论

阅读全文

IoT工控物联网

2022年工业级EDR绕过蓝图

本文为看雪论坛优秀文章看雪论坛作者ID：VirtualCC两年前我成为一个全职红队人员。这是一个我内心十分喜欢的专业。就在几周前，我开始找寻一个新的副业，我决定开始捡起我的红队爱好——开始研究绕过端点...

11月17日84 views评论

阅读全文

安全闲碎

首届中国eBPF大会分享 | 基于eBPF的内核漏洞检测实践

随着智能化、数字化、云化的飞速发展，全球基于Linux系统的设备数以百亿计，而这些设备的安全保障主要取决于主线内核的安全性和健壮性。传统的内核安全存在周期长、效率低以及版本适配的问题，有没...

11月13日162 views评论

阅读全文

安全文章

Linux | eBPF技术的Rootkit攻防（二）

2. BPF在攻防中的应用回顾 BPF 在攻防中的应用BPF 很有趣，因为 BPF 程序具有超越普通程序的能力。hook 系统调用和用户空间函数调用操作用户空间数据结构修改系统调用返回值调用 syst...

11月09日226 views评论

阅读全文

云安全

【云安全系列】让Seccomp动起来SeccompNotify

简介根据我们上一篇《Seccomp -云安全syscall防护利器》的分析，我们可以知道 Seccomp-BPF 模式无论是在可扩展性上还是开发简易性上都得到了大幅的改善。尽管如此，Seccomp-...

11月09日36 views评论

阅读全文

在线咨询

微信