二进制安全C/C++ [2024]基于C++的混淆壳(三) shellcode与oep编写 ### 做壳步骤 创建区段 遍历所有指令 识别指令类型 加花/混淆/处理跳转表 处理原来老的区段 处理PE入口点 阅读全文 2024-03-13 huoji 0 条评论
二进制安全C/C++ [2024]基于C++的混淆壳(二) IAT隐藏 ### 做壳步骤 创建区段 遍历所有指令 识别指令类型 加花/混淆/处理跳转表 阅读全文 2024-03-08 huoji 0 条评论
系统安全C/C++一线开发 [2023]阻止window hook exploit meme 对于安全软件 自己的窗口往往成为最容易被攻击的目标.如window hook exploit这种windows癌症设计引起的问题,理论上,**应该所有的窗口程序都应该这样做从而缓解自己不被攻击** 解决的方法很简单: 1. 给自己设置CFG保护(必选) 2. 使用VEH监控stack overflow事件(可选) 3. hook kedispatchtable,监控win32k的callback function(某些反作弊是这样做的) 4. hook dispatchuserapcroutine,监控来自其他进程的apc,因为最终所谓的peekmeesage都是插入APC(某些反作弊是这样做的) 阅读全文 2023-12-30 huoji 1 条评论
工具软件二进制安全C/C++一线开发 [2024]新年快乐!Linux下个人防火墙发布 又过了一年,又老了一岁(也可以叫做从业安全经验又涨了一年),今年是 安全鸭 ### 安全鸭 一款linux下的安全产品目的是满足个人安全需求,基于netfilter ### 测试 目前只测试了Ubuntu和debian,其他系统没有测试,debbian的内核版本是4.19.0-17-amd64,Ubuntu的内核版本是5.4.0-80-generic,其他版本没有测试,如果你的系统内核版本不是这两个版本,那么请自行测试,如果有问题请提交issue,我会尽快修复. ### 功能 1.防火墙 1.SYN扫描保护 2.SSH登录爆破防护 3.本地日志记录 4.端口爆破防护 [] 5.Web CC攻击防护 [] 6.自定义规则 [] 2.入侵检测 [] 1.文件监控 [] 2.进程监控 [] 3.端口监控 [] 4.日志监控 [] 5.自定义规则 [] 3.服务器控制 1.数据可视化 [] 2.服务器管理 [] 3.IOC查询 [] 4.自定义规则 阅读全文 2023-12-03 huoji 0 条评论
系统安全C/C++ [2018]在 Windows 10 上 WriteProcessMemory 比 NtWriteVirtualMemory 慢很多 WriteProcessMemory 不仅仅是一个NT包装函数,它还执行一些额外的工作(例如保护内存、刷新指令等) 通过逆向WPM 调用 NtQueryVirtualMemory 来确定我们正在写入的区域中页面的访问保护。如果访问保护不是正确的,WPM 将设置 ACCESS_VIOLATION 错误代码并返回(如果访问保护是 PAGE_NOACCES 或 PAGE_READONLY)。 如果没有,它会调用 NtProtectVirtualMemory 设置适当的访问保护。检查之后,函数调用 NtWriteVirtualMemory 和 NtFlushInstructionCache,对它们进行更多检查,然后返回。 这就是为什么慢的原因 阅读全文 2023-09-10 huoji 0 条评论
C/C++汇编 [2023]VMP 3.x的vPop 好像逛了一圈网上都没有VMP3的vPop的handle的代码,这里是这部分的代码,vPop有两部分实现 这是模式匹配的伪码: ```cpp Vmp3 vPop: 1. mov %pop_size:%pop_reg, [%vsp] add vsp, %pop_size mov op_size, %op_size:[VIP] 2. mov %op_reg, %op_size:[VIP] mov %pop_size: %pop_reg,[VSP] add vsp, %pop_size ``` 这是FDJ里面的实现+注释: ![](https://key08.com/usr/uploads/2023/07/2206852981.png) 阅读全文 2023-07-09 huoji 0 条评论