工具软件二进制安全C/C++一线开发 [2024]新年快乐!Linux下个人防火墙发布 又过了一年,又老了一岁(也可以叫做从业安全经验又涨了一年),今年是 安全鸭 ### 安全鸭 一款linux下的安全产品目的是满足个人安全需求,基于netfilter ### 测试 目前只测试了Ubuntu和debian,其他系统没有测试,debbian的内核版本是4.19.0-17-amd64,Ubuntu的内核版本是5.4.0-80-generic,其他版本没有测试,如果你的系统内核版本不是这两个版本,那么请自行测试,如果有问题请提交issue,我会尽快修复. ### 功能 1.防火墙 1.SYN扫描保护 2.SSH登录爆破防护 3.本地日志记录 4.端口爆破防护 [] 5.Web CC攻击防护 [] 6.自定义规则 [] 2.入侵检测 [] 1.文件监控 [] 2.进程监控 [] 3.端口监控 [] 4.日志监控 [] 5.自定义规则 [] 3.服务器控制 1.数据可视化 [] 2.服务器管理 [] 3.IOC查询 [] 4.自定义规则 阅读全文 2023-12-03 huoji 0 条评论
工具软件 [2023]FinalShell会造成大量SSH链接  今天上了防火墙才知道的,FinalShell在进行回话的时候会发送大量SSH链接请求服务器,让防火墙把我封了 阅读全文 2023-12-03 huoji 0 条评论
二进制安全 [2023]一些特殊指令不触发单步 ```cpp SGDT, SIDT, SLDT, SMSW, STR ``` 您观察到的行为与现代 x86 处理器中的用户模式指令预防 (UMIP) 功能有关。UMIP 是一项安全功能,可防止处理器处于用户模式时执行某些特权指令。这些指令包括SGDT、SIDT、SLDT、SMSW 和 STR。 当这些指令在用户模式下执行时,它们不会触发单步陷阱,并且陷阱标志 (TF) 将保持设置状态,正如您所注意到的。这是启用 UMIP 时的预期行为 (CR4.UMIP = 1)。UMIP 旨在防止用户模式代码操纵或访问敏感系统信息。 UMIP 对于安全目的很有用,因为它限制在用户模式下执行潜在危险的指令。然而,对于使用单步调试和分析的逆向工程师和安全研究人员来说,这可能是一个挑战。 阅读全文 2023-11-10 huoji 0 条评论
APT研究二进制安全渗透复现 [2023]我是如何通过EDR在五分钟内发现完全未标记的威胁 > 在日常EDR运维中,我们发现了一个异常的情况,但是无法立刻确定,因为所有已知的数据库都无法匹配上这个异常情况..... # 开始 在日常运维中,我们发现了EDR很少会报告可疑的活动,这个行为除了少部分流氓软件以外,一般是不会出现在一个完全未知的程序上: 阅读全文 2023-11-07 huoji 0 条评论
APT研究系统安全二进制安全 [2023]How did I discover a completely unmarked threat within five minutes through EDR > In daily EDR operation and maintenance, we have discovered an abnormal situation, but we cannot immediately determine it because all known databases cannot match this abnormal situation # At the Begin In daily operations and maintenance, we have found that EDR rarely reports suspicious activities, which generally do not occur on a completely unknown program except for a few rogue software: 阅读全文 2023-11-02 huoji 0 条评论
二进制安全 [2023]给火绒接了云查 作为火绒的忠实粉丝,常常感觉它力不从心,也不想换卡巴斯基,毕竟火绒老粉丝了,考虑到骇人的查杀率,给他接了个卡巴斯基的KSN云查,云查前:  云查后:  效果还是立竿见影,不错的 下一步准备给他接入yara和卡巴斯基的杀毒SDK... 阅读全文 2023-09-24 huoji 0 条评论
系统安全C/C++ [2018]在 Windows 10 上 WriteProcessMemory 比 NtWriteVirtualMemory 慢很多 WriteProcessMemory 不仅仅是一个NT包装函数,它还执行一些额外的工作(例如保护内存、刷新指令等) 通过逆向WPM 调用 NtQueryVirtualMemory 来确定我们正在写入的区域中页面的访问保护。如果访问保护不是正确的,WPM 将设置 ACCESS_VIOLATION 错误代码并返回(如果访问保护是 PAGE_NOACCES 或 PAGE_READONLY)。 如果没有,它会调用 NtProtectVirtualMemory 设置适当的访问保护。检查之后,函数调用 NtWriteVirtualMemory 和 NtFlushInstructionCache,对它们进行更多检查,然后返回。 这就是为什么慢的原因 阅读全文 2023-09-10 huoji 0 条评论