APT研究系统安全工具软件二进制安全C/C++一线开发 [2023]Windows X64 Rookit对抗 随着github开源项目越来越多,小黑们的技术水平也在越来越提高,这几天,在处理应急响应的时候,我注意到一个开源的被滥用的rootkit正在使用 即 `autochk.sys` 阅读全文 2023-03-07 huoji 0 条评论
APT研究二进制安全C/C++汇编 [2022]疑似对红队C2的投毒 2022 6月17日的时候,github上莫名其妙的出现了这个项目:  https://github.com/xiaoma99272/ShellcodeLoader-1/commit/81cdab6a0d9d31a37134cc5b6e265962e88654b2.patch 阅读全文 2022-10-22 huoji 1 条评论
APT研究系统安全 [2022] 威胁建模(二): att&ck的作用 ### 为什么att&ck能用于评估 评估需要一个统一标准,各自厂商的安全设备的规则语法不同,标准也不同,都说自己是最厉害,那么谁最厉害? 阅读全文 2022-08-17 huoji 0 条评论
APT研究系统安全 [2022] 威胁建模(一): 为什么我们需要att&ck矩阵 ### 一切的开始 杀毒软件的工作原理:  以上方法对于家庭电脑是没有问题的,因为出现了未知病毒感染了几个家庭电脑后,这个病毒就已经被杀软捕获分析并且拉黑了 但是对于没有见过的病毒来说,杀毒软件需要一段时间进行人工分析.而人工分析需要的时间又非常的多. 但对于安全需要极高的电脑来说,比如政府、军用的电脑,是不允许感染任何病毒的,因此这种杀毒软件的模式无法满足需要. 另外对于"APT"组织的攻击,如美国国家安全局NSA等黑客组织的专业攻击,他们的病毒绝对是之前没有见过的病毒. 杀毒软件也绝对不可能捕获到这些攻击. 专业的黑客组织会将木马伪造成正常文件诱导用户点击打开,而对于杀毒软件,他们在投毒之前就已经确信能100%防止被找到 阅读全文 2022-08-09 huoji 0 条评论
APT研究系统安全 [2021]阴谋论: windows XP中可能带有NSA后门? **这篇文章消息不确定是否属实,仅仅是本人的一个小的想法与思考,请勿当真** 在审计windows XP代码的时候,在数字签名校验部分,PkcsPublicEncrypt、RSAPublicEncrypt这两个函数长这样: RSAPublicEncrypt:  PkcsPublicEncrypt:  按道理说,他们应该走标准的Pkcs、RSA加密算法,然而并不,在XP源码下,他们走到了一个叫做BSafeEncPublic的算法中:  ~~这个BSafeEncPublic源码是不公开的,是一个lib文件~~(有误,不是这个lib文件,但是目前也不知道是哪来的)  百思不得其解,在查阅wiki后,发现这个算法挺有意思的:  > 从 2004 年到 2013 年,BSAFE 中默认的加密安全伪随机数生成器(CSPRNG) 是Dual_EC_DRBG,它包含一个据称来自NSA 的后门,以及一个有偏见且缓慢的 CSPRNG。[4]自 2005 年规范发布后不久,密码学社区就意识到 Dual_EC_DRBG 是一个非常糟糕的 CSPRNG,到 2007 年,很明显 CSPRNG 似乎被设计为包含 NSA 的隐藏后门,只能使用美国国家安全局通过密钥。[5] 2007 年,Bruce Schneier将后门描述为“太明显了,无法欺骗任何人使用它”。[5]后门在斯诺登泄密事件中得到证实在 2013 年,有人暗示 NSA 在 2004 年向 RSA Security 支付了 1000 万美元以默认使用 Dual_EC_DRBG,[3]尽管 RSA Security在 2004 年否认他们知道后门 不过时间有点对不上就是了,按照wiki说的bsafe默认设置为Dual_EC_DRBG的时间是2004年开始,但是微软的bsafe lib是2003年的,那么是真是假只能看微软的那个lib里面用的是啥随机生成算法了 更新: win7 ci.dll里面也有  不知道是故意隐藏代码不给看还是怎么滴,他的数字签名算法都是这玩意 哪怕是win7那时候已经说淘汰bsafe这个算法了还在用,**要么是名字正好重复了**,要么是故意使坏 阅读全文 2021-09-20 huoji 1 条评论
APT研究系统安全二进制安全 [2016]CVE 2016 1503分析 [cve-2016-1503 analysis.pdf](https://key08.com/usr/uploads/2021/06/3569149805.pdf) 阅读全文 2021-06-19 huoji 0 条评论
APT研究系统安全二进制安全 [2016]攻击JavaScript引擎 电子书 看这本书的时候,我注意到几点感兴趣的:  看起来2021年4月份的Chrome漏洞中的wasm指针利用技术很早很早就有提及了 包括攻击的手法  2021年4月份的Chrome漏洞的看起来作者看过这本书? [攻击JavaScript引擎.pdf](https://key08.com/usr/uploads/2021/06/3880401134.pdf) 阅读全文 2021-06-19 huoji 0 条评论
