APT研究系统安全 [2022] 威胁建模(一): 为什么我们需要att&ck矩阵 ### 一切的开始 杀毒软件的工作原理:  以上方法对于家庭电脑是没有问题的,因为出现了未知病毒感染了几个家庭电脑后,这个病毒就已经被杀软捕获分析并且拉黑了 但是对于没有见过的病毒来说,杀毒软件需要一段时间进行人工分析.而人工分析需要的时间又非常的多. 但对于安全需要极高的电脑来说,比如政府、军用的电脑,是不允许感染任何病毒的,因此这种杀毒软件的模式无法满足需要. 另外对于"APT"组织的攻击,如美国国家安全局NSA等黑客组织的专业攻击,他们的病毒绝对是之前没有见过的病毒. 杀毒软件也绝对不可能捕获到这些攻击. 专业的黑客组织会将木马伪造成正常文件诱导用户点击打开,而对于杀毒软件,他们在投毒之前就已经确信能100%防止被找到 阅读全文 2022-08-09 huoji 0 条评论
二进制安全C/C++ [2022]hypervisor一个麻烦: Time Stamp Counter ### Time Stamp Counter 时间戳计数器( TSC ) 是一个 64 位寄存器,存在于自Pentium以来的所有x86处理器上.它计算自复位以来的 CPU周期数.该指令返回 EDX:EAX 中的 TSC.在x86-64模式下,还会清除RAX和RDX的高32位. ### 特性 对CPU执行的时间高度敏感 大部分GUI、网络设备依赖它用于计数从而实现一些功能 包括ETW也有可选项使用它计数 ### 问题 一个对CPU执行时间高度敏感、而且不容易篡改的东西,最容易拿来干啥? 检测CPU的周期,用于探测hypervisor是否存在 这是一个简单的例子: 阅读全文 2022-07-19 huoji 0 条评论
系统安全C/C++一线开发 [2022]hypervisor: 检测与预防(三) copy paster们久等了 书接上回,前情回顾.如果没有看过请浏览: [[2022]hypervisor: 检测与预防 (一)](https://key08.com/index.php/2022/05/12/1477.html "[2022] hypervisor: 检测与预防 (一)") [[2022]hypervisor: 检测与预防 (二)](https://key08.com/index.php/2022/06/19/1489.html "[2022]hypervisor: 检测与预防 (二)") ### KiErrata671Present 阅读全文 2022-07-10 huoji 0 条评论
C/C++一线开发 [2022]hypervisor: 检测与预防 (二) 前情回顾: [[2022] hypervisor: 检测与预防 (一)](https://key08.com/index.php/2022/05/12/1477.html "[2022] hypervisor: 检测与预防 (一)") 让我们来看看新的问题: 阅读全文 2022-06-19 huoji 0 条评论
系统安全二进制安全 [2022]WMI:你所想要的一切 来自火眼的pdf [wp-windows-management-instrumentation.pdf](https://key08.com/usr/uploads/2022/06/3818513935.pdf) 阅读全文 2022-06-14 huoji 0 条评论
C/C++一线开发 [2022]WMI 获取系统信息代码 代码示例获取列表: > CPU核心数 磁盘大小 wmi创建进程 创建计划任务 检测上次启动时间 检测上次网卡重置时间 阅读全文 2022-06-14 huoji 0 条评论