系统安全二进制安全 [2022]WMI:你所想要的一切 来自火眼的pdf [wp-windows-management-instrumentation.pdf](https://key08.com/usr/uploads/2022/06/3818513935.pdf) 阅读全文 2022-06-14 huoji 0 条评论
二进制安全 [2022]世界上一样的sha256文件 -驱动加载工具绿色版.exe 又名 InstDrv.exe 这个文件的sha256跟一个病毒文件一模一样 [驱动加载工具绿色版.zip](https://key08.com/usr/uploads/2022/05/233406476.zip) 具体带毒文件 https://www.virustotal.com/gui/file/eda32ed911f2504f40225043dbd571cb5a89e285e6b11b378de4d66af3510830 导致每个看sha256的杀软会报毒 但是每个看sha1或者md5的杀软不会报毒 这是多少分之一的概率.... 并且还是被我搞安全的遇到 这个文件的其他信息 ```cpp MD5:6f356e16020902a77d57fa44ff21c387 SHA1:ee9e2816170e9441690ebee28324f43046056712 SHA256:e0ba184fcf57a48769036984aff2c9700600bfb1a202d58d5a0464b97c66c03a SSDEEP:384:mPlvcAgdVdgLC1JQdIiR2Dh2zbC/nndK27p6sKr:MdNpLl92F2PC/nkucX ``` 阅读全文 2022-05-10 huoji 0 条评论
系统安全二进制安全C/C++汇编一线开发 [2022]Windows ALPC解码:(二) > 不得不承认,ALPC是我目前见过最棘手、最麻烦的东西,而且他还被非常多的应用所使用,如RPC、WMI、COM组件、打印机等每个组件都或多或少带漏洞.对于EDR的开发者来说,简直就是公共厕所.因此这篇文章会介绍如何正确的清理公共厕所. 继上次[ALPC拦截的文章](https://key08.com/index.php/2021/11/15/1394.html "ALPC拦截的文章")后,我们遇到了一个问题: 如何解码ALPC的包? ALPC的传输机制类似于windows的TCP 分为几个阶段: 阅读全文 2022-03-27 huoji 0 条评论
python工具软件二进制安全 [2022] 基于NLP的威胁检出引擎 NLP引擎出自于我的一个简单的想法 - 既然人可以通过汇编看出软件是否是病毒 那么机器是否可以通过汇编看呢? 为了让机器能看得懂代码,我首先想到的是非常经典的NLP分类问题,所谓的NLP分类问题,就是训练的时候给一堆词语+词频,推理的时候先把句子中的词语分出来,再然后计算这些词语的词频,最后得出这条句子属于什么类别的结论 阅读全文 2022-03-17 huoji 0 条评论
系统安全二进制安全C/C++ [2022]从微软代码中学习C/C++项目代码规范 ### 1.变量用abcd: ```cpp PCONSOLE_READCONSOLE_MSG a = (PCONSOLE_READCONSOLE_MSG)&Message->u.ApiMessageData; ``` 一个项目里面用abc来命名是大忌,因为这会完全让其他人不知道这个变量的意思,一般情况下一个项目的规范命名有两种: > 驼峰 下划线 而不是微软这种 abcd 阅读全文 2022-01-12 huoji 0 条评论