记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华基于机器学习的 Android 恶意 App 识别
问题描述Android 市场的开放性导致了恶意软件(Malware)的盛行。据 360 安全中心报告,每天都能截获数万个 Android 恶意软件,使得 Android Malware Detection 成为研究人员热议的话题。传统的 Android 恶意软件检测方法主要依赖于基于规则或签名的检测机制,其中使用 yara 实现相对简单。但这种基于签名的检测方法是信息密集型的,需要持续收集新的签名,而基于规则的实现则极为复杂,极易导致误报或让狡猾的恶意软件逃过检测。随着机器学习的流行,越来越多的研究人员开始尝试利用机器学习来实现恶意软件的检测。
【CTI】网络威胁情报培训案例学习之毒卷风行动
发表于 #威胁情报 21个 毒卷风行动Poisoned HurricaneDNS域名劫持的典型案例一简介2014年8月,Fireeye的研究人员通过部署在全球的威胁探针发现了一起针对互联网基础设施提供商、媒体组织、金融服务公司和亚洲政府组织的攻击活动。 发起此次攻击活动的攻击组织利用合法的数字证书对其工具进行签名,并采用创新技术来隐藏其C2流量。二Hurricane Electric重定向在2014年3月份,我们检测到恶意软件Kaba(又被称为 PlugX或SOGU)主动外联的域名和IP地址都是合法的白名单IoC。起初我们判断这是攻击组织让恶意软件进行“休眠”的行为,并没有过多地分析它。
【CTI】网络威胁情报培训案例学习之史诗图拉
发表于 #威胁情报 21个 史诗图拉Epic Turla特殊C2通信的典型案例一简介Turla,也称为 Snake 或 Uroburos,是目前最复杂的网络间谍活动之一。卡巴斯基实验室对此操作的最新研究表明,Epic 是 Turla在边界突破阶段向受害者投递的初始恶意载荷。据目前掌握的数据,Epic的受害者包括:政府机构(内政部、贸易和商务部、外交/外交部、情报机构)、大使馆、军队、研究和教育组织以及制药公司。二特殊的C2通信线路这里提到Turla攻击组织,是因为他们恶意软件独特的C2通信行为。在恶意软件上线后,它们不会回连到一个C2服务器,因为C2服务器存在被反制的风险。
CSRF的学习和利用
定义Cross-Site Request Forgery跨站请求伪造➢1、跨站点的请求➢2、请求是伪造的 (假装可信)它是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。csrf漏洞的成因就;是网站的cookie在浏览器中不会过期;只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含Csrf脚本的链接,可能会执行一-些用户不想做的功能(比如是添加账号等)。这个操作不是用户真正想要执行的。
mac下新版微信小程序反编译学习
发表于 以下文章来源于乌鸦安全 ,作者crow 乌鸦安全 . 专注于网络安全技术分享,红蓝对抗技术、免杀、反制、内网漫游、安全研究。 ✎ 阅读须知乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
house of blindless学习利用
house of blindless前言复现wm新学到的一种利用手法,实际和banana的利用有些相像利用条件:无泄露情况下可以通过偏移实现libc区域的任意写,能泄露情况下
发布时间:2023-09-15 20:42 |
阅读:72681 | 评论:0 |
标签:学习
从JSON1链中学习处理JACKSON链的不稳定性
简介今天四月份的 AliyunCTF 2023 中公开了一条只依赖于 Jackson 这个 JSON 序列化库的原生反序列化利用链【1】。这条 JACKSON 链可以直接在无任何额外依赖的 SpringBoot 环境下使用,十分方便。但是,由于Jackson 获取类属性顺序的不稳定性,导致有时 JACKSON 链在触发 getOutputProperties 方法之前就报错了。
发布时间:2023-09-15 17:47 |
阅读:53202 | 评论:0 |
标签:学习
G.O.S.S.I.P 阅读推荐 2023-09-11 机器学习 x 安全应用的“十宗罪”
今天要推荐的一篇文章是 IEEE Security & Privacy Magazine 上“新鲜出炉”的文章 Lessons Learned on Machine Learning for Computer Security(正式发表日期就是2023年9月11日)。
005-学习记录篇-一文读懂dotnet代码审计
开发模式
目前,ASP.NET中两种主流的开发方式是:ASP.NET Webform和ASP.NET MVC。
WebForm开发模式
WebForm模型:
aspx负责显示,服务器端的动作就是在aspx.cs定义的,.cs是类文件,公共类神马的就是这个了,.ashx是一般处理程序,主要用于写web handler,可以理解成不会显示的aspx页面,不过效率更高,dll就是编译之后的cs文件。
.aspx文件作为显示页面,通常代码是一些html代码,第一行文件头会显示具体触发功能代码的位置,就可以通过这个位置进行漏洞跟踪。
Magic In Java API 学习记录
前言这篇文章主要是对yemoli和R1ckyZ在KCON2023中的议题《Magic In Java API》的一次学习记录对应的slide可以在https://github.com/knownsec/KCon/tree/master/2023中获取概述
学习笔记:推荐系统工作原理简介
今天和大家分享的是一篇学习笔记,关于——“基于个人信息的自动化决策“【关于征求国家标准《信息安全技术 基于个人信息的自动化决策安全要求》(征求意见稿)意见的通知】中最重要也是最常见的一种形式:推荐系统的工作原理。个性化算法是当今最普及的人工智能形式,并完全控制了我们的在线生活。以下是推荐系统的简要工作原理:数据收集:网站和应用追踪用户互动,如点赞、评论、转发、用户的人口统计信息,以及用户购买的交易数据,以构建和完善个性化算法。现在我们已经有了数据,通常有三种方法可以应用:1. 协同过滤总的来说,协同过滤是基于用户-项目的交互数据,利用如皮尔逊相关性或余弦相似性这样的相似度指标。
发布时间:2023-08-31 11:19 |
阅读:73003 | 评论:0 |
标签:学习
机器学习部署落地:底层编译器那些事
发表于 我们为什么要了解编译器?随着对机器学习模型投入生产的了解加深,编译器的话题不断出现。在许多应用情况下,特别是在边缘运行机器学习模型时,模型的成功仍然取决于其运行的硬件,这使得那些在生产中处理机器学习模型的人了解如何编译和优化模型以在不同的硬件加速器上运行变得重要。理想情况下,编译器应该是隐形的,一切都能“自动运行”。然而,我们离实现这一目标还有很多年的路要走。随着越来越多的公司希自将机器学习应用于边缘计算,并且为机器学习模型开发了越来越多的硬件,为了弥合模型和硬件加速器之间的差距,正在开发越来越多的编译器,比如MLIR、TVM、XLA、PyTorch Glow、cuDNN等。
发布时间:2023-08-30 14:07 |
阅读:70103 | 评论:0 |
标签:学习
基于深度学习方法“窃听”智能手机中的加速度计
背景介绍目前智能手机上的运动传感器对振动敏感,已经被用于窃听音频。然而,存在两个公认的局限性,第一个限制是与麦克风不同,运动传感器只能接收通过固体介质传播的音频信号,因此之前唯一可行的设置是将运动传感器和扬声器放置在同一张桌子上;第二个限制是由于传感器的采样率上限是200Hz,而成年人的整个语音频段是85-255Hz,使用传感器只能采集到一部分的声音信息。
基于深度学习的声波攻击可破解键盘输入
基于深度学习的声波攻击可破解键盘输入,准确率达95%来自英国的研究人员将深度学习方法应用于键盘输入数据识别,准确率高达95%。基于深度学习的键盘输入识别方法研究的第一步是收集目标键盘输入数据,这对于深度学习算法的训练至关重要。数据的收集可以通过键盘附近的麦克风或目标手机中安装的具有麦克风访问权限的应用来获取。此外,还可以通过Zoom视频会议的录屏方式来记录参与者的键盘输入。研究人员对MacBook Pro的36个按键分别按25次,并对每个按键操作进行录音。图 键盘输入音频信息示例然后,对音频信息进行处理,识别每个键按压的差异,并进行特殊的数据处理对数据进行放大处理以识别键盘输入。
黑客要价 2.13 美元,兜售 260 万语言学习平台多邻国用户数据
IT之家 8 月 26 日消息,近日有黑客在暗网论坛上兜售 260 万多邻国用户数据,其中包含用户账号名称、真实姓名、电子邮件地址等相关内部数据。这些数据最早于 2023 年 1 月在 Breached 黑客论坛上出售,要价 1500 美元(IT之家备注:当前约 10935 元人民币),随后相关帖子被关闭。VX-Underground 随后发现又有黑客在 Falcon Feeds 论坛上兜售这些数据,要价 8 个论坛站点积分,价值仅为 2.13 美元。这些数据是使用公开的应用程序编程接口(API)收集的,该接口至少自 2023 年 3 月以来一直公开共享。
软件漏洞检测场景中的深度学习模型实证研究
近年来,深度学习模型(DLM)在软件漏洞检测领域的应用探索引起了行业广泛关注,在某些情况下,利用DLM模型能够获得超越传统静态分析工具的检测效果。然而,虽然研究人员对DLM模型的价值预测让人惊叹,但很多人对这些模型本身的特性并不十分清楚。为了从应用角度对DLM模型在漏洞检测场景下的能力与价值进行验证,Steenhoek等人发表了《An Empirical Study of Deep Learning Models for Vulnerability Detection》(《漏洞检测的深度学习模型实证研究》)论文。
基于半监督深度学习的网络恶意加密流量识别方法
摘 要针对 TLS 恶意流量识别方法存在大量标记样本获取困难、无标记样本没有充分利用、模型对于未知样本识别率较低等问题,提出基于半监督深度学习的网络恶意加密流量识别方法。该方法能够利用大量未标记网络流量用于模型训练,提升分类模型的泛化能力。该方法首先借助网络流量图片化方法将原始流量 PCAP 转换为灰度图,然后借助 FixMatch 框架对实现少标记样本下恶意流量进行识别。
栈沙箱学习之orw
前言学到这里,栈的学习就快要告一段落了,这里先会讲解一下栈沙箱orw绕过的一些知识,之后我们学习堆的时候会将堆orw绕过。沙箱保护沙箱保护是
发布时间:2023-08-17 11:57 |
阅读:190581 | 评论:0 |
标签:学习
数据安全相关法规学习笔记
发表于 #数据安全 8 个 #安全规范 3 个 我始终相信如果做好了安全设计,那么自然而然就可以通过所谓的合规检测。不过这么些年没见到过懂技术的合规人员,也没见过懂合规的技术人员。虽然参加过一些合规项目,但实际上也没精力去看所有细节。所以我决定自己梳理一下相关知识,以下为学习笔记。1. 法规与标准带着疑问学习是我的一个习惯。比方说,我不知道有哪些安全相关的法规,也不知道实际执行起来怎么依照?以及法规与技术标准的映射。所以我决定从法律的效力阶位来看。1.1 法律效力阶位(网图,来源未知)法从效力阶位分为上位法、下位法和同位法,上位法高于下位法,后者不得与前者相抵触。
深度学习数据库触发器后门(案例精讲)
原标题《后门学习—数据库触发器后门》是i春秋论坛签约作家「fatmo」分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。fatmo1年网络安全行业的从业经验,目前做安全开发的工作,擅长恶意代码分析,能熟练地排查各种恶意软件,找出潜在的安全威胁,保障系统程序的稳定运行。该文章首发在i春秋论坛,欢迎各位师傅完成专业爱好者认证,可第一时间获取最新技术资讯和实战技能分享。(识别二维码,快速完成认证)最近在WordPress的提问板块中发现了一个有趣的问题:提问者在帮助朋友处理一个被入侵的WordPress网站时,删除了多余的管理员账户。
基于深度强化学习的认知物联网资源分配的策略研究
摘 要:能量采集(Energy Harvesting,EH)和认知无线电(Cognitive Radio,CR)技术的组合可为物联网设备提供持续的能量,并有效地提高物联网系统的频谱效率。然而,在衬底模式下的认知物联网(Cognitive Radio IoT,CIoT)系统中,物联网设备之间的无线通信常常遭受窃听攻击。针对存在多窃听者条件下的 CIoT 系统无线通信场景,以保密速率作为系统保密性能指标。
漏洞学习|Android Deep link漏洞
-010-0x00 DeepLink简介Deep link是一种处理特定类型链接并直接发送到应用程序(例如特定活动)的机制。Android 允许开发者创建两种类型的链接:Deep linkAndroid App LinkDeep link深层链接是一种将用户直接带到应用程序中特定内容的 URL。例如,example://myapp可以使用deeplink来启动MainActivity.通过添加intent-filters来设置深层链接,并根据从传入意图中提取的数据将用户引导至正确的活动。因此,多个应用程序能够处理相同的深层链接(Intent)。
从网络安全场景模型交付谈机器学习平台实践
链动未来·技术前瞻“XOps 实践逐渐应用到网络安全分析中,以支撑安全数据治理,安全模型训练、 管理和监控,为网络安全的数据分析人员、ML 工程团队、应用开发团队以及安全运营团队的协作搭建安全、兼容和经济高效的平台,从而实现基于AI 安全模型的持续交付,即实现借助大数据和人工智能技术完成分析能力自适应的调整,更加主动、弹性地去分析新型复杂的威胁和未知多变的风险。"——绿盟科技天枢实验室 主管研究员 王星凯绿盟科技天枢实验室 安全研究员 王玉坤随着网络空间攻防对抗态势不断升级演化,数字化时代的特征不断倒逼网络安全分析从传统的依赖安全专家的人工经验向智能化的安全分析模式快速转变。
智能安全运营:大模型工具协同与学习框架
发表于 一. 大模型驱动的智能安全运营大模型技术的快速发展,给智能安全运营技术提供了全新的交互范式、任务分析范式与思路,并从分析维度、整合维度、协同维度,为经典网络空间人工智能技术栈的升级提供了重大机遇。包括:1.1知识语义增强参数规模的指数级提升,使得大语言模型具备了世界知识与常识体系,这是大模型技术发展出通用智能的关键基础与关键特性。特别是领域知识+领域常识,使得大模型能够充分的缓解困扰网络空间人工智能发展的一个核心难题——数据模式与安全语义的鸿沟问题。这是传统小模型(LLM之外的经典机器学习、深度学习、知识图谱等技术)所难以解决的。
免杀学习-从指令绕过开始-1
##免杀 3个 免杀学习-从指令绕过开始-1破晓免杀新伙伴-daybreak,这个工具是类似CS的工具下面的图片是它的控制界面,利用了Web界面更加简介美观且自带
免杀学习-从指令绕过开始(1)
免杀学习-从指令绕过开始-1破晓免杀新伙伴-daybreak,这个工具是类似CS的工具下面的图片是它的控制界面,利用了Web界面更加简介美观且自带中文分析一
免杀学习-从指令绕过开始(2)
免杀学习-从指令绕过开始(2)certutil指令绕过上次我们的免杀成功的绕过了联网360,但在半个月后就被无情的杀掉了,原因和火绒的报错一致是因为敏感指令certutil导致了报警,那么我们本次学习的主题就是如何绕过certutil的报警那我们先看看通过cetutil指令进行下载的时候,他们的参数都有着什么作用-f覆盖现有文件。有值的命令行选项。后面跟要下载的文件 url。-split保存到文件。无值的命令行选项。加了的话就可以下载到当前路径,不加就下载到了默认路径。-URLCache显示或删除URL缓存条目。无值的命令行选项。
在案例中学习威胁情报——HEXANE
#威胁情报 16个 简介Dragos公司批露了一个名为HEXANE的攻击团伙,该团伙以中东地区石油和天然气公司为攻击目标,特别是科威特国内的公司。具体而言,该团伙通过攻击中东、中亚地区和非洲地区的网络服务提供商作为跳板,通过中间人攻击和其他相关手段进入海上石油钻井等石油和天然气设施。参考链接:https://www.dragos.com/threat/hexane/如何提取特征并进行追踪HEXANE在某些入侵事件中使用了恶意软件DanBot,这个恶意软件并不是HEXANE独有的,但是识别它有助于我们针对攻击组织总结出该组织使用的特定的技战术组合。以下是一些DanBot样本的静态特征。
LLVM字符串加密学习笔记
之前看chenx6大佬的博客学习了一下编写基础的LLVM Pass,但是那个有很明显的问题是,作者为了处理Function内部重复引用的多次解密的问题,特判了引用次数,如果存在多处对global string的引用是无法进行混淆的。但是实际的编程中很难不会引用多处字符串,所以那个只能混淆简单代码。我后面根据评论区的说法对此优化了一下,改成Function的EntryBasicBlock处解密,但是过不了llvm-dis,感觉是在alloc栈变量的时候出了问题,暂时不知道怎么解决,后面如果有能力的话再重新写一遍吧。
如何实现机器学习模型的敏感数据遗忘?
一. 概述随着机器学习方法越来越多地应用于网络安全领域的数据分析中,如果模型无意中从训练数据中捕获了敏感信息,则在一定程度上存在隐私泄露的风险。由于训练数据会长期存在于模型参数中,如果向模型输入一些具有诱导性质的数据,则有可能直接输出训练样本[1]。同时,当敏感数据意外进入模型训练,从数据保护的角度出发,如何使模型遗忘这些敏感数据或特征并保证模型效果成了亟待解决的问题。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
客黑业创的万千入年个一
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡