公告 [置顶] 如何当一个合格的白帽子-入门指南 在所有之前 白帽子只是一个概念 一个"为了避免说自己是黑客让其他人嘲笑或者让人觉得这是不好的东西"的词 对于目前2020年的网络安全环境,本网站还是遵循以前的人规则,想学技术可以,先了解刑法,避免堕入黑产深渊 [学习刑法入口](https://key08.com/index.php/2019/11/06/%E7%99%BD%E5%B8%BDwiki.html "学习刑法入口") =》点击下面的 查看更多 了解更多 阅读全文 2020-12-16 huoji 4 条评论
公告 [置顶] 本网站知识星球 2022-09-16 14:54:11 星期五 主要是为了方便推流,新文章自动同步到知识星球中.订阅星球后有新文章时会自动推送到你的手机.知识星球文章偏向新手而不是像本站一样太基础的不提及.欢迎想学习的新人们订阅 2023-05-09 12:21:26 星期二 大家不要注册知识星球了,因为知识星球现在居然开始要求收费了(必须要现有收费星球,才能有免费星球) 因此本网站知识星球关闭! 阅读全文 2022-09-16 huoji 0 条评论
系统安全二进制安全C/C++一线开发 [2023]基于ebpf的进程监控实现python + CPP两个例子 python写的demo,用ebpf监控进程创建和退出.内核做不太行,因为内核做目前新Ubuntu不导出excute、fork的东西了(草) 我写了两个demo,一个是python的用于体验ebpf,另外一个是C++的,用于我的"安全鸭"项目 ebpf唯一的问题是栈太小了,导致某些信息需要异步查询,比如进程路径和父进程路径,不知道有没有大哥给出点好的方案 这是python的简单实现: 阅读全文 2023-05-09 huoji 0 条评论
系统安全二进制安全C/C++一线开发 [2023]Linux内核用于IP地址过滤的自增hash表与一个坑 这是linux下我写的用于我的"安全鸭"项目的的hash表,用于netfilter的恶意IP过滤和SYN攻击拦截.看到也没啥公开轮子,就发到这边吧.另外有个hash表的坑不知道有没有大哥能解释一下 坑就是,我使用的hash函数 ``` int idx = hash_32(ip_address_key, table->bucket_num); ``` 是有问题的,对于某些IP地址,会报: ``` shift exponent 4294966328 is too large for 32-bit type 'unsigned int ``` 但很明显netfilter传进来的ip_address是u32,不可能超的,不知道哪里错了,不管他了 源码: ip_hashmap.c 阅读全文 2023-05-09 huoji 1 条评论
游戏安全 [2023]PiDqSerializationWrite 内核SEH安全的拷贝函数 在某些情况下我们不能使用SEH进行memcpy(比如驱动是manual map的情况下),很容易造成蓝屏 这个函数由ntos实现,能实现具有SEH的安全memcpy  ```cpp PiDqSerializationWriteFn = (u64)FindPattern(Kbase2, "48 89 5C 24 ? 48 89 4C 24 ? 57 48 83 EC 20 41", E("PAGE")); struct bullshit { u64 dst_addr; u32 _0xffffffff; char zero[17]; bool error; }; typedef NTSTATUS(__fastcall* memcp1)(bullshit* _shitDst, pv src, u32 size); auto g = (memcp1)PiDqSerializationWriteFn; bullshit call_data{}; call_data.dst_addr = (u64)dst; call_data._0xffffffff = 0xffffffff; g(&call_data, src, sz); //call_data.error == 1 -> RW failed! ``` 来源: @busybox10 阅读全文 2023-05-05 huoji 0 条评论
二进制安全 [2023]VMP还原day4:简单计算vm block跳转地址 目前的进度:  从 VMP还原day3:模式匹配寻找VIP/VSP和Flow Entry 中,简单说了一下FDJ,我们也已经介绍了虚拟机是如何初始化的.现在,是时候进入第一个handler了. 阅读全文 2023-04-16 huoji 0 条评论
一线开发 [2023]迅速上手meta的llama模型 首先确保自己有足够的资源配置.这边给个资源配置表: ### 硬件要求 7B模型: 1张3090就行,很垃圾,没什么效果 13B模型: 2张3090就行,很垃圾,没什么效果 30B模型: 4张3090是最低要求,推理速度极慢.有条件四张A100 60B模型: 没跑过 这边以30B模型为例: 首先克隆项目: https://github.com/facebookresearch/llama 然后自己网上找个30B的权重 阅读全文 2023-03-13 huoji 2 条评论
一线开发 [2023]LLAMA是否会引发下一代安全领域AI机器学习革命? ###前言 这边不说chatgpt如何智能智能了,都是搞技术的,我们都知道chatgpt是基于transformer的,不是啥闭源技术,主要是数据量的问题. 这边讨论一下一个潜在的可能爆发点,低成本预训练模型的可行性. ###传统模型的不足 在安全领域传统的AI模型据我所知有如下内容 1. 流量检测,如waf等 2. 恶意程序检测 3. DevOps 4. 这个国外比较多,EDR主机日志检测 传统模型其实都面临一个不足,那就是误报大、样本训练开销大,到最后往往都会变成 非白即黑. 对未知样本,一律判黑. 此外困扰传统模型的最大的问题是,AI的理解能力不是那么好,AI的效果直接取决于样本参数的输入 ###LLAMA为什么可能是下一代安全领域的AI机器学习革命 不知道各位注意到了没有,chatgpt也能处理安全相关的事务,是的,这是这些大语言模型的特点-'具有理解能力' 包括你的代码、waf流量日志、主机流量日志,直接脱离传统的需要自定义输入参数的问题,直接问,直接回复.AI就跟理解了一样 这就带来一个非常显而易见的特点,输入参数能泛化,调参成本直线下降,之前各种绞尽**脑汁的想特征提取,现在统统不需要了,AI似乎能理解一下,只要给一段json,就能返回你需要的结果.** 这会大大降低模型的成本,以及大幅度提高模型的效果.试想一下,随便一个人拿llama模型,强化训练一个专用的AI(事实上openAI已经有类似的模型蒸馏接口了) **在原llama模型的理解能力上,分化出专用检出模型,理解能力+检出能力,也许会让目前的AI提高一个等级.** ###缺点 当然我不是专业搞AI的,可能会预测错.这种想法显而易见的也有缺点,那就是llama太占资源了.相比传统的AI,占的资源不是一个量级的.对于现在来说,为了实现一个小功能,去做用尽资源跑一个大模型,可能有点得不偿失. 但是在以后,硬件成本降低后,这一切都有可能 阅读全文 2023-03-12 huoji 1 条评论