二进制安全C/C++ [2022]填鸭式shellcode编写教程 (二) payload下载 上一章后,我们实现了初步的shellcode,但是距离实现我们的功能还有一段时间. 本章将会介绍关键的payload下载.准备好加载我们的主要功能 首先需要准备一个http服务器,我这边偷懒使用hfs了. 阅读全文 2022-09-07 huoji 0 条评论
二进制安全C/C++ [2022]填鸭式shellcode编写教程 (一) 本系列文章会填鸭式教学编写一个shellcode就像cobal strike、msf那种一样. 本系列分三章: 第一章将介绍实现一个简单的hello world 第二章将实现一个简单的合法的远程协助工具 第三章将分析cobal strike的shellcode并且与第一章第二章对照 不要紧张.本系列很简单的,小白也会.本文不涉及到大量的汇编(本来想手工汇编写的,但是肯定很多人不懂,就整简单的) 阅读全文 2022-09-07 huoji 0 条评论
二进制安全C/C++ [2022]hypervisor一个麻烦: Time Stamp Counter ### Time Stamp Counter 时间戳计数器( TSC ) 是一个 64 位寄存器,存在于自Pentium以来的所有x86处理器上.它计算自复位以来的 CPU周期数.该指令返回 EDX:EAX 中的 TSC.在x86-64模式下,还会清除RAX和RDX的高32位. ### 特性 对CPU执行的时间高度敏感 大部分GUI、网络设备依赖它用于计数从而实现一些功能 包括ETW也有可选项使用它计数 ### 问题 一个对CPU执行时间高度敏感、而且不容易篡改的东西,最容易拿来干啥? 检测CPU的周期,用于探测hypervisor是否存在 这是一个简单的例子: 阅读全文 2022-07-19 huoji 0 条评论
系统安全二进制安全 [2022]WMI:你所想要的一切 来自火眼的pdf [wp-windows-management-instrumentation.pdf](https://key08.com/usr/uploads/2022/06/3818513935.pdf) 阅读全文 2022-06-14 huoji 0 条评论
二进制安全 [2022]世界上一样的sha256文件 -驱动加载工具绿色版.exe 又名 InstDrv.exe 这个文件的sha256跟一个病毒文件一模一样 [驱动加载工具绿色版.zip](https://key08.com/usr/uploads/2022/05/233406476.zip) 具体带毒文件 https://www.virustotal.com/gui/file/eda32ed911f2504f40225043dbd571cb5a89e285e6b11b378de4d66af3510830 导致每个看sha256的杀软会报毒 但是每个看sha1或者md5的杀软不会报毒 这是多少分之一的概率.... 并且还是被我搞安全的遇到 这个文件的其他信息 ```cpp MD5:6f356e16020902a77d57fa44ff21c387 SHA1:ee9e2816170e9441690ebee28324f43046056712 SHA256:e0ba184fcf57a48769036984aff2c9700600bfb1a202d58d5a0464b97c66c03a SSDEEP:384:mPlvcAgdVdgLC1JQdIiR2Dh2zbC/nndK27p6sKr:MdNpLl92F2PC/nkucX ``` 阅读全文 2022-05-10 huoji 0 条评论
系统安全二进制安全C/C++汇编一线开发 [2022]Windows ALPC解码:(二) > 不得不承认,ALPC是我目前见过最棘手、最麻烦的东西,而且他还被非常多的应用所使用,如RPC、WMI、COM组件、打印机等每个组件都或多或少带漏洞.对于EDR的开发者来说,简直就是公共厕所.因此这篇文章会介绍如何正确的清理公共厕所. 继上次[ALPC拦截的文章](https://key08.com/index.php/2021/11/15/1394.html "ALPC拦截的文章")后,我们遇到了一个问题: 如何解码ALPC的包? ALPC的传输机制类似于windows的TCP 分为几个阶段: 阅读全文 2022-03-27 huoji 0 条评论