系统安全 [2024]简单分析一下火绒为什么误报explorer.exe ### 免责声明 刚收假回来,花了五分钟看的, 没细看,说的不一定对,需要等待后续报告。 ### 前言 在win10 20h2的一次更新中。火绒误杀了windows的explorer组件: ![](https://key08.com/usr/uploads/2024/02/2000824865.jpg) 本来不想蹭这个热度的,但是热度太高 ,刚收假回来,准备练练手。 这个是误报的explorer: https://www.virustotal.com/gui/file/06d066fe672f18faba41dd5787dbfc3991744dc4c17a3bb3d8154aceadbd66fb/detection 火绒的规则报的是avkiller,根据本人第一直觉,应该是匹配到了杀毒软件字符串,所以我们打开IDA,把有问题的explorer拖进去 阅读全文 2024-02-19 huoji 0 条评论
系统安全C/C++一线开发 [2023]阻止window hook exploit meme 对于安全软件 自己的窗口往往成为最容易被攻击的目标.如window hook exploit这种windows癌症设计引起的问题,理论上,**应该所有的窗口程序都应该这样做从而缓解自己不被攻击** 解决的方法很简单: 1. 给自己设置CFG保护(必选) 2. 使用VEH监控stack overflow事件(可选) 3. hook kedispatchtable,监控win32k的callback function(某些反作弊是这样做的) 4. hook dispatchuserapcroutine,监控来自其他进程的apc,因为最终所谓的peekmeesage都是插入APC(某些反作弊是这样做的) 阅读全文 2023-12-30 huoji 1 条评论
APT研究系统安全二进制安全 [2023]How did I discover a completely unmarked threat within five minutes through EDR > In daily EDR operation and maintenance, we have discovered an abnormal situation, but we cannot immediately determine it because all known databases cannot match this abnormal situation # At the Begin In daily operations and maintenance, we have found that EDR rarely reports suspicious activities, which generally do not occur on a completely unknown program except for a few rogue software: 阅读全文 2023-11-02 huoji 0 条评论
系统安全C/C++ [2018]在 Windows 10 上 WriteProcessMemory 比 NtWriteVirtualMemory 慢很多 WriteProcessMemory 不仅仅是一个NT包装函数,它还执行一些额外的工作(例如保护内存、刷新指令等) 通过逆向WPM 调用 NtQueryVirtualMemory 来确定我们正在写入的区域中页面的访问保护。如果访问保护不是正确的,WPM 将设置 ACCESS_VIOLATION 错误代码并返回(如果访问保护是 PAGE_NOACCES 或 PAGE_READONLY)。 如果没有,它会调用 NtProtectVirtualMemory 设置适当的访问保护。检查之后,函数调用 NtWriteVirtualMemory 和 NtFlushInstructionCache,对它们进行更多检查,然后返回。 这就是为什么慢的原因 阅读全文 2023-09-10 huoji 0 条评论
系统安全工具软件 [2023]通过GPT+词向量快速构造个人知识库 用的是llama_index这个项目,注意这个项目对embeding消耗贼大,谨慎使用 **!!!千万不要外网部署,因为这个项目存在已知的RCE和提示词注入问题** 这个llama_index的项目连接: https://github.com/jerryjliu/llama_index 这是部分效果(用了key08的资料+intel和amd手册): EAC: ![](https://key08.com/usr/uploads/2023/07/2822797999.jpg) 免杀: ![](https://key08.com/usr/uploads/2023/07/1486220303.jpg) PG: ![](https://key08.com/usr/uploads/2023/07/2412948005.jpg) 用我的代码,装好llama_index,然后把你的资料放在data目录就行.pdf、word、marketdown都可以 代码如下: 阅读全文 2023-07-31 huoji 0 条评论
系统安全python二进制安全一线开发 [2023]现代AI杀毒引擎原理+部分代码 之前的鸭鸭引擎当时说要开源了,只不过工作忙一直没空管.这几天闲了一会想找找源码,发现模型都丢了.源码发不出来了,但是没关系,还是能说一下当时怎么做这款引擎的 鸭鸭杀毒一共迭代了3个版本,容我慢慢说 阅读全文 2023-07-19 huoji 3 条评论
系统安全工具软件 [2023]通过ACPI检测沙箱 ### 前言 最近 @Daax [公布](https://revers.engineering/evading-trivial-acpi-checks/ "公布")了一个关于ACPI检测虚拟机的方法,我对此比较感兴趣,于是研究了一下 阅读全文 2023-06-19 huoji 0 条评论