一线开发 [2023]LLAMA是否会引发下一代安全领域AI机器学习革命? ###前言 这边不说chatgpt如何智能智能了,都是搞技术的,我们都知道chatgpt是基于transformer的,不是啥闭源技术,主要是数据量的问题. 这边讨论一下一个潜在的可能爆发点,低成本预训练模型的可行性. ###传统模型的不足 在安全领域传统的AI模型据我所知有如下内容 1. 流量检测,如waf等 2. 恶意程序检测 3. DevOps 4. 这个国外比较多,EDR主机日志检测 传统模型其实都面临一个不足,那就是误报大、样本训练开销大,到最后往往都会变成 非白即黑. 对未知样本,一律判黑. 此外困扰传统模型的最大的问题是,AI的理解能力不是那么好,AI的效果直接取决于样本参数的输入 ###LLAMA为什么可能是下一代安全领域的AI机器学习革命 不知道各位注意到了没有,chatgpt也能处理安全相关的事务,是的,这是这些大语言模型的特点-'具有理解能力' 包括你的代码、waf流量日志、主机流量日志,直接脱离传统的需要自定义输入参数的问题,直接问,直接回复.AI就跟理解了一样 这就带来一个非常显而易见的特点,输入参数能泛化,调参成本直线下降,之前各种绞尽**脑汁的想特征提取,现在统统不需要了,AI似乎能理解一下,只要给一段json,就能返回你需要的结果.** 这会大大降低模型的成本,以及大幅度提高模型的效果.试想一下,随便一个人拿llama模型,强化训练一个专用的AI(事实上openAI已经有类似的模型蒸馏接口了) **在原llama模型的理解能力上,分化出专用检出模型,理解能力+检出能力,也许会让目前的AI提高一个等级.** ###缺点 当然我不是专业搞AI的,可能会预测错.这种想法显而易见的也有缺点,那就是llama太占资源了.相比传统的AI,占的资源不是一个量级的.对于现在来说,为了实现一个小功能,去做用尽资源跑一个大模型,可能有点得不偿失. 但是在以后,硬件成本降低后,这一切都有可能 阅读全文 2023-03-12 huoji 1 条评论
APT研究系统安全工具软件二进制安全C/C++一线开发 [2023]Windows X64 Rookit对抗 随着github开源项目越来越多,小黑们的技术水平也在越来越提高,这几天,在处理应急响应的时候,我注意到一个开源的被滥用的rootkit正在使用 即 `autochk.sys` 阅读全文 2023-03-07 huoji 0 条评论
二进制安全C/C++ [2023]VMP还原day3:模式匹配寻找VIP/VSP和Flow Entry 在找到vmstub后.我们需要开始做一些基本的操作,获取一些基本的信息.在此之前,介绍一下我们的基本思路 -模式匹配 阅读全文 2023-02-20 huoji 0 条评论
二进制安全C/C++汇编Shellcode [2023]经典永不过时-返回地址欺骗 在一些攻防场景中,经常会遇到函数调用者检查. 即检查调用者的地址,诺地址不在自己的模块里面,则可以判定为非法调用. 为了对抗这种检查,一种非常经典的技术诞生了,即返回地址欺骗.这项技术从199X年开始被发现,2000年后由于游戏的爆炸式发展加剧了对抗而被推向高峰 阅读全文 2023-02-04 huoji 1 条评论
系统安全二进制安全C/C++一线开发 [2022]终端安全: 一文从浅入深介绍windows WFP框架 Windows 中的 WFP 框架是一个用于网络流量管理的工具,它可以帮助用户控制数据包在网络中的流动,从而提高网络安全性和性能。本文将深入介绍 Windows 中的 WFP 框架,并通过一个简单的实例(基于 WFP 框架的 DNS 流量解析工具)让大家更好地理解它. 阅读全文 2022-12-10 huoji 0 条评论
C/C++一线开发 [2022]逃离Windows注册表回调重定向与链接的地狱 如果你开发过Windows的注册表回调相关的内容,比如hips、edr.那你一定会被里面的各种由于历史造成的 软连接、重定向、wow64等等等措施折磨的无法脱身. 如WOW6432Node这个东西本来就是个WOW32兼容重定向假路径: https://learn.microsoft.com/zh-cn/windows/win32/winprog64/shared-registry-keys?redirectedfrom=MSDN 阅读全文 2022-12-05 huoji 0 条评论
C/C++一线开发 [2022] 人肉GRPC协议实现(一) tls协议实现 - client hello ### 0x0 简介 年尾了,发点存货吧.人肉实现GRPC.主要需求是windows内核实现GRPC的交互 GRPC是由三个部分组成的,继承了谷歌丧心病狂的设计.要实现GRPC,就要依次实现 > TLS 1.2 HTTP2 Protobuf payload (内核WSK我就不说了,烂大街了) 今天来介绍第一部分,TLS1.2握手 https://www.ietf.org/rfc/rfc5246.txt 阅读全文 2022-11-25 huoji 0 条评论