二进制安全 [2024]vmp3的vpush解析 vmp3的vpush这handle有两种类型 push %imm的时候: ``` ;把vip移动到操作数寄存器中,这里的VIP操作是需要解密的 MOV %push_size:%operand_reg, [VIP] ;设置VSP的大小. MOV %push_size:[VSP], %operand_reg ``` push %reg的时候: ``` ;把vip移动到操作数寄存器中,这里的VIP操作是需要解密的 mov %push_size:%operand_reg, [VIP] ;在寄存器表中找到需要push的寄存器. mov %tmp_reg, %push_size:[%ctx_reg + %operand_reg] ;设置vsp的大小 mov %push_size:[VSP], %tmp_reg ``` 阅读全文 2024-02-04 huoji 0 条评论
二进制安全一线开发 [2023]profsvc.dll!CreateTempDirectoryForUser导致开机卡慢以及开机黑屏但是过一会就好了的问题 **profsvc.dll!CreateTempDirectoryForUser**在win1809后增加了一个功能,用于标记是否可以删除 hard是不能删除 soft是可以删除 然后他开机时候 给temp这个文件夹设置了soft代表当磁盘空间不足时候可以删除这些文件 **但是设置的实现方法是递归遍历目录打标记.** 因此你的windows临时目录和用户临时目录的文件数量决定了开机速度 **但是有一个例外** 所有的安全软件总是会在minifilter中的precreate或者postcreate地方匹配自己的规则.而本来就因为临时文件过多导致的卡的问题,结果再结合安全软件在匹配规则导致了更卡. 这就是为什么小红伞/卡巴斯基/火绒/360等安全软件 有在某些机器上开机黑屏卡慢的问题. 解决方法:清理临时文件 在11月的时候也有人发现了这个问题: https://zhuanlan.zhihu.com/p/667566995 阅读全文 2023-12-16 huoji 0 条评论
工具软件二进制安全C/C++一线开发 [2024]新年快乐!Linux下个人防火墙发布 又过了一年,又老了一岁(也可以叫做从业安全经验又涨了一年),今年是 安全鸭 ### 安全鸭 一款linux下的安全产品目的是满足个人安全需求,基于netfilter ### 测试 目前只测试了Ubuntu和debian,其他系统没有测试,debbian的内核版本是4.19.0-17-amd64,Ubuntu的内核版本是5.4.0-80-generic,其他版本没有测试,如果你的系统内核版本不是这两个版本,那么请自行测试,如果有问题请提交issue,我会尽快修复. ### 功能 1.防火墙 1.SYN扫描保护 2.SSH登录爆破防护 3.本地日志记录 4.端口爆破防护 [] 5.Web CC攻击防护 [] 6.自定义规则 [] 2.入侵检测 [] 1.文件监控 [] 2.进程监控 [] 3.端口监控 [] 4.日志监控 [] 5.自定义规则 [] 3.服务器控制 1.数据可视化 [] 2.服务器管理 [] 3.IOC查询 [] 4.自定义规则 阅读全文 2023-12-03 huoji 0 条评论
二进制安全 [2023]一些特殊指令不触发单步 ```cpp SGDT, SIDT, SLDT, SMSW, STR ``` 您观察到的行为与现代 x86 处理器中的用户模式指令预防 (UMIP) 功能有关。UMIP 是一项安全功能,可防止处理器处于用户模式时执行某些特权指令。这些指令包括SGDT、SIDT、SLDT、SMSW 和 STR。 当这些指令在用户模式下执行时,它们不会触发单步陷阱,并且陷阱标志 (TF) 将保持设置状态,正如您所注意到的。这是启用 UMIP 时的预期行为 (CR4.UMIP = 1)。UMIP 旨在防止用户模式代码操纵或访问敏感系统信息。 UMIP 对于安全目的很有用,因为它限制在用户模式下执行潜在危险的指令。然而,对于使用单步调试和分析的逆向工程师和安全研究人员来说,这可能是一个挑战。 阅读全文 2023-11-10 huoji 0 条评论
APT研究二进制安全渗透复现 [2023]我是如何通过EDR在五分钟内发现完全未标记的威胁 > 在日常EDR运维中,我们发现了一个异常的情况,但是无法立刻确定,因为所有已知的数据库都无法匹配上这个异常情况..... # 开始 在日常运维中,我们发现了EDR很少会报告可疑的活动,这个行为除了少部分流氓软件以外,一般是不会出现在一个完全未知的程序上: 阅读全文 2023-11-07 huoji 3 条评论
APT研究系统安全二进制安全 [2023]How did I discover a completely unmarked threat within five minutes through EDR > In daily EDR operation and maintenance, we have discovered an abnormal situation, but we cannot immediately determine it because all known databases cannot match this abnormal situation # At the Begin In daily operations and maintenance, we have found that EDR rarely reports suspicious activities, which generally do not occur on a completely unknown program except for a few rogue software: 阅读全文 2023-11-02 huoji 0 条评论
二进制安全 [2023]给火绒接了云查 作为火绒的忠实粉丝,常常感觉它力不从心,也不想换卡巴斯基,毕竟火绒老粉丝了,考虑到骇人的查杀率,给他接了个卡巴斯基的KSN云查,云查前:  云查后:  效果还是立竿见影,不错的 下一步准备给他接入yara和卡巴斯基的杀毒SDK... 阅读全文 2023-09-24 huoji 0 条评论
