二进制安全C/C++ [2022]填鸭式shellcode编写教程 (二) payload下载 上一章后,我们实现了初步的shellcode,但是距离实现我们的功能还有一段时间. 本章将会介绍关键的payload下载.准备好加载我们的主要功能 首先需要准备一个http服务器,我这边偷懒使用hfs了. 阅读全文 2022-09-07 huoji 0 条评论
二进制安全C/C++ [2022]填鸭式shellcode编写教程 (一) 本系列文章会填鸭式教学编写一个shellcode就像cobal strike、msf那种一样. 本系列分三章: 第一章将介绍实现一个简单的hello world 第二章将实现一个简单的合法的远程协助工具 第三章将分析cobal strike的shellcode并且与第一章第二章对照 不要紧张.本系列很简单的,小白也会.本文不涉及到大量的汇编(本来想手工汇编写的,但是肯定很多人不懂,就整简单的) 阅读全文 2022-09-07 huoji 0 条评论
系统安全 [2022]McAfree对windows token权限相关的分析 McAfree对windows token权限相关的分析 下载: [rp-access-token-theft-manipulation-attacks.pdf](https://key08.com/usr/uploads/2022/08/3349289779.pdf) 阅读全文 2022-08-29 huoji 0 条评论
系统安全工具软件 [2022] yara scan -一个简单的小巧的应急响应工具 这个是应急用的给朋友定制的,他们说一个公司发现了一个病毒基本上其他的机器都有同样的文件只不过位置不一样.所以找我做了一个东西能扫描相同文件之类的把这些全扫出来. 工具功能: > 根据yara规则匹配文件 匹配特定hash(sha1)的文件 根据特定文件名字匹配文件 自动生成报告 截图: ![1.jpg](https://key08.com/usr/uploads/2022/08/3841569265.jpg) 用法: 下载release [Release.zip](https://key08.com/usr/uploads/2022/08/1188834289.zip) 编辑config.json ```cpp { "scan_path": ["C:"], "hashes": [ "EE9E2816170E9441690EBEE28324F43046056712" ], "filenames": [ "InstDrv.bin" ] } ``` 其中scan_path是扫描目录,不要\\结尾 hashes是sha1,filenames是文件名字. yara目录放了一些病毒的yara检出(VT上的那些),如果有需要可以自己补充或者删减. 扫描完毕后,在程序目录有一个log文件,那就是扫描结果.可以让客户发回来分析问题 阅读全文 2022-08-19 huoji 0 条评论
APT研究系统安全 [2022] 威胁建模(二): att&ck的作用 ### 为什么att&ck能用于评估 评估需要一个统一标准,各自厂商的安全设备的规则语法不同,标准也不同,都说自己是最厉害,那么谁最厉害? 阅读全文 2022-08-17 huoji 0 条评论
APT研究系统安全 [2022] 威胁建模(一): 为什么我们需要att&ck矩阵 ### 一切的开始 杀毒软件的工作原理: ![](https://key08.com/usr/uploads/2022/08/3793640254.png) 以上方法对于家庭电脑是没有问题的,因为出现了未知病毒感染了几个家庭电脑后,这个病毒就已经被杀软捕获分析并且拉黑了 但是对于没有见过的病毒来说,杀毒软件需要一段时间进行人工分析.而人工分析需要的时间又非常的多. 但对于安全需要极高的电脑来说,比如政府、军用的电脑,是不允许感染任何病毒的,因此这种杀毒软件的模式无法满足需要. 另外对于"APT"组织的攻击,如美国国家安全局NSA等黑客组织的专业攻击,他们的病毒绝对是之前没有见过的病毒. 杀毒软件也绝对不可能捕获到这些攻击. 专业的黑客组织会将木马伪造成正常文件诱导用户点击打开,而对于杀毒软件,他们在投毒之前就已经确信能100%防止被找到 阅读全文 2022-08-09 huoji 0 条评论
二进制安全C/C++ [2022]hypervisor一个麻烦: Time Stamp Counter ### Time Stamp Counter 时间戳计数器( TSC ) 是一个 64 位寄存器,存在于自Pentium以来的所有x86处理器上.它计算自复位以来的 CPU周期数.该指令返回 EDX:EAX 中的 TSC.在x86-64模式下,还会清除RAX和RDX的高32位. ### 特性 对CPU执行的时间高度敏感 大部分GUI、网络设备依赖它用于计数从而实现一些功能 包括ETW也有可选项使用它计数 ### 问题 一个对CPU执行时间高度敏感、而且不容易篡改的东西,最容易拿来干啥? 检测CPU的周期,用于探测hypervisor是否存在 这是一个简单的例子: 阅读全文 2022-07-19 huoji 0 条评论