APT研究二进制安全渗透复现 [2023]我是如何通过EDR在五分钟内发现完全未标记的威胁 > 在日常EDR运维中,我们发现了一个异常的情况,但是无法立刻确定,因为所有已知的数据库都无法匹配上这个异常情况..... # 开始 在日常运维中,我们发现了EDR很少会报告可疑的活动,这个行为除了少部分流氓软件以外,一般是不会出现在一个完全未知的程序上: 阅读全文 2023-11-07 huoji 3 条评论
系统安全二进制安全C/C++一线开发 [2023]基于ebpf的进程监控实现python + CPP两个例子 python写的demo,用ebpf监控进程创建和退出.内核做不太行,因为内核做目前新Ubuntu不导出excute、fork的东西了(草) 我写了两个demo,一个是python的用于体验ebpf,另外一个是C++的,用于我的"安全鸭"项目 ebpf唯一的问题是栈太小了,导致某些信息需要异步查询,比如进程路径和父进程路径,不知道有没有大哥给出点好的方案 这是python的简单实现: 阅读全文 2023-05-09 huoji 0 条评论
系统安全二进制安全C/C++一线开发 [2023]Linux内核用于IP地址过滤的自增hash表与一个坑 这是linux下我写的用于我的"安全鸭"项目的的hash表,用于netfilter的恶意IP过滤和SYN攻击拦截.看到也没啥公开轮子,就发到这边吧.另外有个hash表的坑不知道有没有大哥能解释一下 坑就是,我使用的hash函数 ``` int idx = hash_32(ip_address_key, table->bucket_num); ``` 是有问题的,对于某些IP地址,会报: ``` shift exponent 4294966328 is too large for 32-bit type 'unsigned int ``` 但很明显netfilter传进来的ip_address是u32,不可能超的,不知道哪里错了,不管他了 源码: ip_hashmap.c 阅读全文 2023-05-09 huoji 1 条评论
系统安全C/C++Shellcode [2022]防止第三方DLL注入到程序中 很多恶意软件、木马、病毒、游戏外挂会进行注入然后干坏事,比如进行API hook监听行为等. 本方法适用于win8以上使用系统机制阻止第三方的dll注入 阅读全文 2022-11-04 huoji 3 条评论
系统安全二进制安全C/C++汇编一线开发 [2022]Windows ALPC解码:(二) > 不得不承认,ALPC是我目前见过最棘手、最麻烦的东西,而且他还被非常多的应用所使用,如RPC、WMI、COM组件、打印机等每个组件都或多或少带漏洞.对于EDR的开发者来说,简直就是公共厕所.因此这篇文章会介绍如何正确的清理公共厕所. 继上次[ALPC拦截的文章](https://key08.com/index.php/2021/11/15/1394.html "ALPC拦截的文章")后,我们遇到了一个问题: 如何解码ALPC的包? ALPC的传输机制类似于windows的TCP 分为几个阶段: 阅读全文 2022-03-27 huoji 0 条评论