系统安全二进制安全C/C++ [2024]愚蠢的windows进程隐藏技术 几年前(4年前?) 在看雪上看到一个驱动壳用了改PID的方法隐藏自己进程,今天看到一个rootkit也在用一样的办法隐藏自己,突然想起来回旋镖打中自己,所以趁自己还没忘记的时候记录一下 这些隐藏自己的进程的原理是, ```cpp EPROCESS->UniqueProcessId ``` 是不受到保护的,可以改成任意进程的 如 ```cpp *(uin64_t)((char*)process + 0x440) = winlogon_pid; 这样你都是进程会是winlogon在任务管理器里面 ``` 另外大部分usermod的API,比如openprocess,在R3是dword,而UniqueProcessId是一个dword64的结构体,也就是说内核可以完美处理64位的东西,R3不能,所以你也可以把要隐藏进程的UniqueProcessId设置为64位的PID. **这样会让你的进程在用户模式下完全不可见** 而内核则很好的兼容 edit: 2020年的时候发过这个方法,不过是线程的 https://key08.com/index.php/2020/11/03/801.html 看雪那个是山总的壳 阅读全文 2024-04-08 huoji 0 条评论
二进制安全C/C++ [2024]基于C++的混淆壳(三) shellcode与oep编写 ### 做壳步骤 创建区段 遍历所有指令 识别指令类型 加花/混淆/处理跳转表 处理原来老的区段 处理PE入口点 阅读全文 2024-03-13 huoji 0 条评论
二进制安全C/C++ [2024]基于C++的混淆壳(二) IAT隐藏 ### 做壳步骤 创建区段 遍历所有指令 识别指令类型 加花/混淆/处理跳转表 阅读全文 2024-03-08 huoji 0 条评论
系统安全C/C++一线开发 [2023]阻止window hook exploit meme 对于安全软件 自己的窗口往往成为最容易被攻击的目标.如window hook exploit这种windows癌症设计引起的问题,理论上,**应该所有的窗口程序都应该这样做从而缓解自己不被攻击** 解决的方法很简单: 1. 给自己设置CFG保护(必选) 2. 使用VEH监控stack overflow事件(可选) 3. hook kedispatchtable,监控win32k的callback function(某些反作弊是这样做的) 4. hook dispatchuserapcroutine,监控来自其他进程的apc,因为最终所谓的peekmeesage都是插入APC(某些反作弊是这样做的) 阅读全文 2023-12-30 huoji 1 条评论
工具软件二进制安全C/C++一线开发 [2024]新年快乐!Linux下个人防火墙发布 又过了一年,又老了一岁(也可以叫做从业安全经验又涨了一年),今年是 安全鸭 ### 安全鸭 一款linux下的安全产品目的是满足个人安全需求,基于netfilter ### 测试 目前只测试了Ubuntu和debian,其他系统没有测试,debbian的内核版本是4.19.0-17-amd64,Ubuntu的内核版本是5.4.0-80-generic,其他版本没有测试,如果你的系统内核版本不是这两个版本,那么请自行测试,如果有问题请提交issue,我会尽快修复. ### 功能 1.防火墙 1.SYN扫描保护 2.SSH登录爆破防护 3.本地日志记录 4.端口爆破防护 [] 5.Web CC攻击防护 [] 6.自定义规则 [] 2.入侵检测 [] 1.文件监控 [] 2.进程监控 [] 3.端口监控 [] 4.日志监控 [] 5.自定义规则 [] 3.服务器控制 1.数据可视化 [] 2.服务器管理 [] 3.IOC查询 [] 4.自定义规则 阅读全文 2023-12-03 huoji 0 条评论
系统安全C/C++ [2018]在 Windows 10 上 WriteProcessMemory 比 NtWriteVirtualMemory 慢很多 WriteProcessMemory 不仅仅是一个NT包装函数,它还执行一些额外的工作(例如保护内存、刷新指令等) 通过逆向WPM 调用 NtQueryVirtualMemory 来确定我们正在写入的区域中页面的访问保护。如果访问保护不是正确的,WPM 将设置 ACCESS_VIOLATION 错误代码并返回(如果访问保护是 PAGE_NOACCES 或 PAGE_READONLY)。 如果没有,它会调用 NtProtectVirtualMemory 设置适当的访问保护。检查之后,函数调用 NtWriteVirtualMemory 和 NtFlushInstructionCache,对它们进行更多检查,然后返回。 这就是为什么慢的原因 阅读全文 2023-09-10 huoji 0 条评论