java二进制安全一线开发 [2024]HotSpotVirtualMachine.java self attach check function Vulnerabilitie HotSpotVirtualMachine.java 阅读全文 2024-02-22 huoji 0 条评论
系统安全 [2024]简单分析一下火绒为什么误报explorer.exe ### 免责声明 刚收假回来,花了五分钟看的, 没细看,说的不一定对,需要等待后续报告。 ### 前言 在win10 20h2的一次更新中。火绒误杀了windows的explorer组件: ![](https://key08.com/usr/uploads/2024/02/2000824865.jpg) 本来不想蹭这个热度的,但是热度太高 ,刚收假回来,准备练练手。 这个是误报的explorer: https://www.virustotal.com/gui/file/06d066fe672f18faba41dd5787dbfc3991744dc4c17a3bb3d8154aceadbd66fb/detection 火绒的规则报的是avkiller,根据本人第一直觉,应该是匹配到了杀毒软件字符串,所以我们打开IDA,把有问题的explorer拖进去 阅读全文 2024-02-19 huoji 0 条评论
二进制安全 [2024]vmp3的vpush解析 vmp3的vpush这handle有两种类型 push %imm的时候: ``` ;把vip移动到操作数寄存器中,这里的VIP操作是需要解密的 MOV %push_size:%operand_reg, [VIP] ;设置VSP的大小. MOV %push_size:[VSP], %operand_reg ``` push %reg的时候: ``` ;把vip移动到操作数寄存器中,这里的VIP操作是需要解密的 mov %push_size:%operand_reg, [VIP] ;在寄存器表中找到需要push的寄存器. mov %tmp_reg, %push_size:[%ctx_reg + %operand_reg] ;设置vsp的大小 mov %push_size:[VSP], %tmp_reg ``` 阅读全文 2024-02-04 huoji 0 条评论
系统安全C/C++一线开发 [2023]阻止window hook exploit meme 对于安全软件 自己的窗口往往成为最容易被攻击的目标.如window hook exploit这种windows癌症设计引起的问题,理论上,**应该所有的窗口程序都应该这样做从而缓解自己不被攻击** 解决的方法很简单: 1. 给自己设置CFG保护(必选) 2. 使用VEH监控stack overflow事件(可选) 3. hook kedispatchtable,监控win32k的callback function(某些反作弊是这样做的) 4. hook dispatchuserapcroutine,监控来自其他进程的apc,因为最终所谓的peekmeesage都是插入APC(某些反作弊是这样做的) 阅读全文 2023-12-30 huoji 1 条评论
二进制安全一线开发 [2023]profsvc.dll!CreateTempDirectoryForUser导致开机卡慢以及开机黑屏但是过一会就好了的问题 **profsvc.dll!CreateTempDirectoryForUser**在win1809后增加了一个功能,用于标记是否可以删除 hard是不能删除 soft是可以删除 然后他开机时候 给temp这个文件夹设置了soft代表当磁盘空间不足时候可以删除这些文件 **但是设置的实现方法是递归遍历目录打标记.** 因此你的windows临时目录和用户临时目录的文件数量决定了开机速度 **但是有一个例外** 所有的安全软件总是会在minifilter中的precreate或者postcreate地方匹配自己的规则.而本来就因为临时文件过多导致的卡的问题,结果再结合安全软件在匹配规则导致了更卡. 这就是为什么小红伞/卡巴斯基/火绒/360等安全软件 有在某些机器上开机黑屏卡慢的问题. 解决方法:清理临时文件 在11月的时候也有人发现了这个问题: https://zhuanlan.zhihu.com/p/667566995 阅读全文 2023-12-16 huoji 0 条评论
工具软件二进制安全C/C++一线开发 [2024]新年快乐!Linux下个人防火墙发布 又过了一年,又老了一岁(也可以叫做从业安全经验又涨了一年),今年是 安全鸭 ### 安全鸭 一款linux下的安全产品目的是满足个人安全需求,基于netfilter ### 测试 目前只测试了Ubuntu和debian,其他系统没有测试,debbian的内核版本是4.19.0-17-amd64,Ubuntu的内核版本是5.4.0-80-generic,其他版本没有测试,如果你的系统内核版本不是这两个版本,那么请自行测试,如果有问题请提交issue,我会尽快修复. ### 功能 1.防火墙 1.SYN扫描保护 2.SSH登录爆破防护 3.本地日志记录 4.端口爆破防护 [] 5.Web CC攻击防护 [] 6.自定义规则 [] 2.入侵检测 [] 1.文件监控 [] 2.进程监控 [] 3.端口监控 [] 4.日志监控 [] 5.自定义规则 [] 3.服务器控制 1.数据可视化 [] 2.服务器管理 [] 3.IOC查询 [] 4.自定义规则 阅读全文 2023-12-03 huoji 0 条评论
工具软件 [2023]FinalShell会造成大量SSH链接 ![](https://key08.com/usr/uploads/2023/12/3259951125.png) 今天上了防火墙才知道的,FinalShell在进行回话的时候会发送大量SSH链接请求服务器,让防火墙把我封了 阅读全文 2023-12-03 huoji 1 条评论