- 关于进程重镜像和终端安全解决方案绕过的讨论
- Windows操作系统在判断进程镜像FILE_OBJECT的位置时存在不一致性,这就会影响非EDR终端安全解决方案在检测恶意进程代码时的能力。也正是这种不一致性,促使McAfee研发了出了一中新型的后渗透绕过技术,我们将这种技术......
- 所属分类:系统安全 更新时间:2019-06-25 相关标签: 阅读全文...
- 如何使用Yaazhini扫描Android APKAPI中的安全漏洞
-
Yaazhini是一款针对Android APK和API的免费漏洞扫描工具,这款工具提供了用户友好的操作界面,广大移动端安全研究人员可以在Yaazhini的帮助下,轻松扫描任何Android应用程序的APK文件以及API接口,而且Yaazhini还会......
- 所属分类:系统安全 更新时间:2019-06-24 相关标签: 阅读全文...
- 如何使用LES对Linux进行渗透测试研究
-
写在前面的话
LES安全工具由Z-Labs开发并负责维护,可帮助安全测试人员以及安全分析专家在对Linux设备进行红队测试/渗透测试的过程中寻找关键漏洞。在这篇文章中,我将介绍这款工具的运行机制,并教会大家如何高效......
- 所属分类:系统安全 更新时间:2019-06-24 相关标签: 阅读全文...
- 云查杀:云安全不可或缺的安全组件
- 0x01、摘要
在公有云安全框架中,根据统计结果,大约有84%的恶意程序是可以通过杀毒软件查杀隔离的,在云端构建杀毒软件集群服务是云安全不可或缺的重要安全组件。为了更好的满足安全业务需求,我们需要了解包括传统......
- 所属分类:系统安全 更新时间:2019-06-24 相关标签: 阅读全文...
- 我是怎么把研发安全做“没”了的
- 我叫王大锤,万万没想到,我成了马栏山不省心集团的研发安全工程师。。。这一定是对我的终极考验,相信用不了多久我就会升职加薪,当上总经理,出任CEO,迎娶白富美,走向人生巅峰。想想,还有点小激动。
言归正传,......
- 所属分类:系统安全 更新时间:2019-06-19 相关标签: 阅读全文...
- Linux应急响应之工具篇
- 当企业被攻击者入侵,系统被挂暗链、内容遭到恶意篡改,服务器出现异常链接、卡顿等情况时,需要进行紧急处理,使系统在最短时间内恢复正常。由于应急处理往往时间紧,所以尝试将应急中常见处理方法整合到脚本中,可......
- 所属分类:系统安全 更新时间:2019-06-17 相关标签: 阅读全文...
- Android静态分析之初级篇(二)
- 接着《Android静态分析之初级篇 》来,这次来看看如何在反编译后的apk包中添加一个页面,类似植入广告~
在app中进行广告植入,正常思路是:在app开始启动时增加一个广告的页面,代码里就是新建一个Activity文件,并......
- 所属分类:系统安全 更新时间:2019-06-14 相关标签: 阅读全文...
- Windows 10安全指南
- 人们很容易认为,保护Windows 10设备的过程非常简单,甚至按着一定之规操作就可以了。比如,安装一些安全软件,调整一些设置,进行一两次培训,然后你就可以高枕无忧了。
但现实世界要复杂得多,初始设置只是建立一......
- 所属分类:系统安全 更新时间:2019-06-14 相关标签: 阅读全文...
- 玩转COM对象(Part 2)
- 紧跟前一篇文章,本文将进一步研究COM对象搜索方法,通过COM对象公开的属性以及子属性来寻找比较有趣的COM对象方法。
0x01 什么是COM对象
根据微软的描述,“微软组件对象模型(Component Object Model,COM)是......
- 所属分类:系统安全 更新时间:2019-06-14 相关标签: 阅读全文...
- Arm平台Ptrace注入shellcode技术
- 继ptrace注入之dlopen/dlsym注入第三方so库到远程进程中后,本次探索的是shellcode 的注入
概述
shellcode注入是通过将dlopen/dlsym库函数的操作放在了shellcode中,注入函数只是通过对远程进程进行内存申请,接......
- 所属分类:系统安全 更新时间:2019-06-13 相关标签: 阅读全文...
- DEX保护之指令抽取
- 首先我们需要了解一代壳的原理,一代壳是对dex文件进行加密,反编译只能看见壳程序的代码,只能通过IDA动态调试或者使用Xposed等HOOK框架,hook相关API在App运行时dump出解密后的dex文件,这两种方法都是通过内存dum......
- 所属分类:系统安全 更新时间:2019-06-11 相关标签: 阅读全文...
- macOS新版本10.15 Catalina的7点重大安全改进
- 正如我们所期待的那样,在WWDC 2019上,发布了关于下一版本Apple桌面操作系统macOS 10.15 Catalina的主要展示。考虑到在此前的几个正式版本中接连发现的安全问题,包括令人震惊的严重漏洞,以及重复出现的内置Mac安全......
- 所属分类:系统安全 更新时间:2019-06-11 相关标签: 阅读全文...
- 玩转COM对象
- 最近一段时间,渗透测试人员、红队以及恶意攻击者都在横向移动中开始使用COM对象。之前已经有其他研究者研究过COM对象,比如Matt Nelson(enigma0x3)。Matt在2017年发表了关于COM对象的一篇文章,Empire工程中也添加......
- 所属分类:系统安全 更新时间:2019-06-10 相关标签: 阅读全文...
- Windows 0day!她放出第9枚 0day,承诺还要放
- 安全研究员兼利用开发人员 SandEscaper 又公开了 Windows 的一个 0day 详情和 PoC,可导致普通用户的权限提升为管理员权限。攻击者可借此安装程序,查看、改变或删除数据。
这个 0day 漏洞绕过了微软在4月份修复的 ......
- 所属分类:系统安全 更新时间:2019-06-10 相关标签: 阅读全文...
- 新型勒索病毒Attention感染医疗与半导体行业
- 近日,深信服安全团队检测到一种新的勒索病毒正在活跃,攻击者针对制造行业、医疗行业等目标,通过社会工程、RDP远程爆破等方式手动投放勒索病毒,且进行加密后会人工删除勒索病毒体和入侵日志。
该勒索病毒加密后会......
- 所属分类:系统安全 更新时间:2019-06-06 相关标签: 阅读全文...
- 如何在Windows和Linux服务器中检测混淆命令
-
工具介绍
在目前的无文件恶意软件或网络犯罪领域中,命令行混淆已经是很常见的了。为了绕过基于签名的安全检测机制,红队渗透测试以及APT攻击活动都会使用各种专用的混淆/模糊技术。同时,许多代码混淆工具(即执......
- 所属分类:系统安全 更新时间:2019-06-06 相关标签: 阅读全文...
- 欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载
- 在过去的几个月时间里,研究人员观察到了多个新型的恶意垃圾邮件活动。在这些攻击活动中,攻击者使用了一种多阶段恶意软件加载器来传播GootKit银行木马,而这个新出现的恶意软件名叫JasperLoader。
这个恶意软件加......
- 所属分类:系统安全 更新时间:2019-06-05 相关标签: 阅读全文...
- 渗透测试实战——born2root:2 + unknowndevice64: 2靶机入侵
- 靶机安装/下载
born2root:2 下载地址:https://pan.baidu.com/s/1DPaMqKZDSFA1tcVJCscLew
unknowndevice64: 2下载地址:https://pan.baidu.com/s/117NQkFfcXdtjHX2WxPExsA
实战
born2root:2
第一步还是一......
- 所属分类:系统安全 更新时间:2019-06-05 相关标签: 阅读全文...
- Windows平台常见反调试技术梳理(下)
- 0x01 反调试方法
软件及硬件断点
断点(breakpoint)是调试器提供的主要工具。我们可以使用断点在特定位置中断程序执行流程。断点有两种类型:
1、软件断点
2、硬件断点
如果没有断点支持,我们很难逆向分析目标......
- 所属分类:系统安全 更新时间:2019-06-05 相关标签: 阅读全文...
- Windows平台常见反调试技术梳理(上)
- 在软件领域,逆向工程是针对应用程序的研究过程,目的是获取应用程序未公开的工作原理及使用的具体算法。虽然软件逆向可以用于合法场景(比如恶意软件分析或者未公开文档的系统研究),但也可能被黑客用于非法活动。......
- 所属分类:系统安全 更新时间:2019-06-05 相关标签: 阅读全文...
- 对滥用Windows特权文件操作的研究(下)
- 上文我们对特权文件操作的原理和可能发生漏洞的地方,进行了理论上的分析。本文我们接着将对象管理器(ObjectManager)符号链接以及漏洞利用的示例和思路。
对象管理器(ObjectManager)符号链接
对象管理器是一个......
- 所属分类:系统安全 更新时间:2019-06-03 相关标签: 阅读全文...
- Android静态分析之初级篇
- 最近瞅着测APP的空档,翻了翻之前买的一本讲Android安全的书,书快要翻完了,但是里面还有实际操作的部分,书里面提到的工具跟目前用到的有一些出入,借着google总算把最简单的一部分搞定了,做个记录~
操作系统:w......
- 所属分类:系统安全 更新时间:2019-05-31 相关标签: 阅读全文...
- 对滥用Windows特权文件操作的研究(上)
- 本文介绍了如何滥用Windows上的特权进程执行文件,来实现本地权限升级(从用户升级到管理员/系统权限)。除此之外,我还介绍了利用这类漏洞的可用技术、工具和具体过程。
特权文件操作漏洞
以高权限运行的进程会对所......
- 所属分类:系统安全 更新时间:2019-05-31 相关标签: 阅读全文...
- 如何在iOS 12上绕过SSL Pinning
- 两星期之前,我发布了新版的SSL Kill Switch,这是我在iOS应用上禁用SSL pinning的一款黑盒工具,新版中我添加了对iOS 12的支持。
iOS 11和12的网络协议栈发生了较为明显的改变,因此针对iOS 11的SSL Kill Switch自......
- 所属分类:系统安全 更新时间:2019-05-31 相关标签: 阅读全文...
- 如何利用Slack客户端漏洞窃取Slack用户下载的所有文件
- 在本文中,我们将主要讨论一个值得关注的功能滥用问题,通过该漏洞,攻击者可以窃取甚至控制Slack用户使用Windows环境的Slack桌面应用程序的下载内容。根据我们的协调披露政策,已经通过HackerOne平台向Slack报告了这......
- 所属分类:系统安全 更新时间:2019-05-30 相关标签: 阅读全文...
- Linux Kernel 初探(一)BabyKernel
- 题目描述
解压题目我们可以拿到以下文件:
p1umer@ubuntu:~/kernel/give_to_player$ ls -l
total 5516
-rwxr-xr-x 1 p1umer p1umer 202 May 9 00:09 boot.sh
-rw-r--r-- 1 p1umer p1umer 4127776 May 9 00:09 bz......
- 所属分类:系统安全 更新时间:2019-05-29 相关标签: 阅读全文...
- 在没有源代码的情况下对Linux二进制代码进行模糊测试
- AFL配合DynamoRIO,没错,就是drAFL。在drAFL的帮助下,我们就可以在没有源代码的情况下对LInux二进制代码进行模糊测试了。
drAFL
原始版本的AFL支持使用QEMU模式来对待测目标进行黑盒测试,因此在使用drAFL之前......
- 所属分类:系统安全 更新时间:2019-05-28 相关标签: 阅读全文...
