作者:掌控安全-骚骑 背景之前分享了个免杀入门文,很浅显,比较适合小白看...文章在社区,地址我放在这了,有兴趣可以一戳:https://bbs.zkaq.cn/t/4456.html(ps:社区邀请...
syswhispers3学习
学习目的:为啥Syscall在对抗edr时非常好用,因为微软给各地杀软厂商注册了回调机制,而大部分厂商都是通过回调去Hook了R3到R0转化的nt函数,而R3api要走入R0需要ntdll的辅助,如图...
syswhispers3学习
学习目的:为啥Syscall在对抗edr时非常好用,因为微软给各地杀软厂商注册了回调机制,而大部分厂商都是通过回调去Hook了R3到R0转化的nt函数,而R3api要走入R0需要ntdll的辅助,如图...
Linux | 利用io_uring异步I/O绕过syscall Hook检测
io_uring是在Linux 5.1版本引入的一个高性能异步I/O接口。简单来说,它通过让用户空间和内核空间共享一个环形缓冲区,大大降低了数据传输的开销,能让程序运行得更快,支持多种异步操作...
阿里云CTF2025复现-风清
阿里云CTF2025复现-风清runes题目程序比较简单,就是 mmap 了一段内存,然后能任意使用 syscall。这道题学到的最重要的一点就是不同的内核版本的系统调用可能会存在一定的区别,然后还是...
Windows系统调用(syscall)
一、介绍什么是系统调用Windows 系统调用(syscall)是程序与系统交互的接口,它允许程序请求特定服务,例如读写文件、创建新进程或分配内存,例如,当调用 WinAPI 函数 VirtualAl...
Hook 神威:绕过 EDR 内存保护
Hook 神威:绕过 EDR 内存保护引言在最近一次内部渗透测试中,我遇到了一款 EDR 产品(这里不方便透露具体名称)。这款产品严重阻碍了我访问 lsass 内存的能力,导致我无法使用我们自定义版本...
隐身系统调用执行:绕过 ETW、Sysmon 和 EDR 检测
这篇文章《Stealth Syscall Execution: Bypassing ETW, Sysmon, and EDR Detection》主要讲解了如何通过隐形系统调用(Stealth Sys...
【WP】第四届SQCTF网络安全及信息对抗大赛PWN方向题目
接上文【WP】第四届SQCTF网络安全及信息对抗大赛WEB方向题目全解【WP】第四届SQCTF网络安全及信息对抗大赛Crypto方向题目全解【WP】第四届SQCTF网络安全及信息对抗大赛Re方向题目全...
从核晶入手浅谈一下syscall这块的攻防对抗
前言在hypervisor中,特别是安全软件的hv,接管syscall无非三种办法,MSR HOOK,EPT/NPT HOOK,EFER HOOK。本文来炒旧饭,对这些方法进行总结以及来说一下怎么检测...
游戏MOD伴随盗号风险,仿冒网站借风灵月影窃密
免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
游戏MOD伴随盗号风险,仿冒网站借风灵月影窃密
游戏MOD(即游戏修改器)是一种能够对游戏进行修改或增强的程序,因其能够提升游戏体验,在玩家群体中拥有一定的市场。然而,这类程序大多由第三方开发者制作,容易缺乏完善的安全保障机制,这就为不法分子提供了...