APT研究二进制安全C/C++汇编 [2022]疑似对红队C2的投毒 2022 6月17日的时候,github上莫名其妙的出现了这个项目:  https://github.com/xiaoma99272/ShellcodeLoader-1/commit/81cdab6a0d9d31a37134cc5b6e265962e88654b2.patch 阅读全文 2022-10-22 huoji 0 条评论
系统安全C/C++汇编 [2022]hypervisor: 检测与预防(四) copy paster们久等了 书接上回,前情回顾.如果没有看过请浏览: [[2022]hypervisor: 检测与预防(三)](https://key08.com/index.php/2022/07/10/1493.html "[2022]hypervisor: 检测与预防(三)") 阅读全文 2022-10-01 huoji 0 条评论
系统安全web安全二进制安全C/C++汇编一线开发 [2022]Java native agent学习笔记-从加载到log4j漏洞检测 记录一下java native agent的学习过程,也顺便造一个检测log4j漏洞的轮子: java native agent相比java agent最大的好处是快,C++写的,快的一笔,但是最大的坏处是非常麻烦,毕竟你拿个面过程的语言怼面对象的肯定是比较麻烦的. 本次学习的目的是做个加载器,动态加载agent,然后再实现检测log4j 阅读全文 2022-09-28 huoji 0 条评论
二进制安全汇编 [2022]填鸭式shellcode编写教程 (三) 重定位文件 根据前两章的路线,现在是能实现了下载,但是还缺少重要的一步: 我们是能下载,但是没办法加载. 本章节将会指导如何加载我们的bacon 阅读全文 2022-09-07 huoji 0 条评论
C/C++汇编 [2022]关于intel和amd指令行为不一样这件事 ### AMD CPU与INTEL CPU指令解析问题 假设一个情况: ```cpp 66 e8 00 00 00 00 ``` 在x86指令集中 66会作为e8的prefix,覆盖code segment size 假设当前大小为16bit 新大小会为32bit.反之一样. code segment size由 GDT/LDT 决定.实模式一般是16 bit("unreal"模式除外) 在x64中,我发现了一个很有意思的地方: 66 E8作为指令前缀时,AMD和INTEL呈现了完全不同的特性,即amd会遵循规则,将e8的code segment size设置为16bit 而intel则直接忽略. 这个问题已经被发现了有一段时间了,capstone在2016年,记录了这个问题. https://github.com/capstone-engine/capstone/issues/776 这是一个概念性代码,不用CPUID判断出是INTEL还是AMD的cpu. ### 简单的思考: 能否用于混淆? ### poc https://github.com/huoji120/cpu_duck 阅读全文 2022-04-16 huoji 0 条评论
系统安全二进制安全C/C++汇编一线开发 [2022]Windows ALPC解码:(二) > 不得不承认,ALPC是我目前见过最棘手、最麻烦的东西,而且他还被非常多的应用所使用,如RPC、WMI、COM组件、打印机等每个组件都或多或少带漏洞.对于EDR的开发者来说,简直就是公共厕所.因此这篇文章会介绍如何正确的清理公共厕所. 继上次[ALPC拦截的文章](https://key08.com/index.php/2021/11/15/1394.html "ALPC拦截的文章")后,我们遇到了一个问题: 如何解码ALPC的包? ALPC的传输机制类似于windows的TCP 分为几个阶段: 阅读全文 2022-03-27 huoji 0 条评论
