二进制安全 [2023]给火绒接了云查 作为火绒的忠实粉丝,常常感觉它力不从心,也不想换卡巴斯基,毕竟火绒老粉丝了,考虑到骇人的查杀率,给他接了个卡巴斯基的KSN云查,云查前:  云查后:  效果还是立竿见影,不错的 下一步准备给他接入yara和卡巴斯基的杀毒SDK... 阅读全文 2023-09-24 huoji 0 条评论
系统安全python二进制安全一线开发 [2023]现代AI杀毒引擎原理+部分代码 之前的鸭鸭引擎当时说要开源了,只不过工作忙一直没空管.这几天闲了一会想找找源码,发现模型都丢了.源码发不出来了,但是没关系,还是能说一下当时怎么做这款引擎的 鸭鸭杀毒一共迭代了3个版本,容我慢慢说 阅读全文 2023-07-19 huoji 3 条评论
系统安全二进制安全C/C++一线开发 [2023]基于ebpf的进程监控实现python + CPP两个例子 python写的demo,用ebpf监控进程创建和退出.内核做不太行,因为内核做目前新Ubuntu不导出excute、fork的东西了(草) 我写了两个demo,一个是python的用于体验ebpf,另外一个是C++的,用于我的"安全鸭"项目 ebpf唯一的问题是栈太小了,导致某些信息需要异步查询,比如进程路径和父进程路径,不知道有没有大哥给出点好的方案 这是python的简单实现: 阅读全文 2023-05-09 huoji 0 条评论
系统安全二进制安全C/C++一线开发 [2023]Linux内核用于IP地址过滤的自增hash表与一个坑 这是linux下我写的用于我的"安全鸭"项目的的hash表,用于netfilter的恶意IP过滤和SYN攻击拦截.看到也没啥公开轮子,就发到这边吧.另外有个hash表的坑不知道有没有大哥能解释一下 坑就是,我使用的hash函数 ``` int idx = hash_32(ip_address_key, table->bucket_num); ``` 是有问题的,对于某些IP地址,会报: ``` shift exponent 4294966328 is too large for 32-bit type 'unsigned int ``` 但很明显netfilter传进来的ip_address是u32,不可能超的,不知道哪里错了,不管他了 源码: ip_hashmap.c 阅读全文 2023-05-09 huoji 1 条评论
二进制安全 [2023]VMP还原day4:简单计算vm block跳转地址 目前的进度:  从 VMP还原day3:模式匹配寻找VIP/VSP和Flow Entry 中,简单说了一下FDJ,我们也已经介绍了虚拟机是如何初始化的.现在,是时候进入第一个handler了. 阅读全文 2023-04-16 huoji 0 条评论
APT研究系统安全工具软件二进制安全C/C++一线开发 [2023]Windows X64 Rookit对抗 随着github开源项目越来越多,小黑们的技术水平也在越来越提高,这几天,在处理应急响应的时候,我注意到一个开源的被滥用的rootkit正在使用 即 `autochk.sys` 阅读全文 2023-03-07 huoji 0 条评论