记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

从ATT&CK V11版发布看ATT&CK的更新历程

阅读:192022年4月26日ATT&CK V11如约而至,这次的版本的更新主要集中在三个方面。通过分析ATT&CK 版本的更新历程,我们可以梳理出ATT& CK的三条发展路线。一、ATT&CK V 11版更新内容2022 年 4 月26日,ATT&CK (v11)版本正式更新。现在访问 https://attack.mitre.org/ 主页,看到的将是最新的V11版本。ATT&CK 版本(V11)这次一如既往的更新了企业、移动和 ICS 的技术、组和软件。
发布时间:2022-05-24 19:41 | 阅读:24043 | 评论:0 | 标签:技术产品 ATT&CK 安全技术

让windbg反”反调试”

阅读:12进入x64时代后,windbg一直没有现成的反”反调试”插件,但windbg可以借助其他工具实现反”反调试”。参看https://github.com/x64dbg/ScyllaHideScyllaHide没有现成的windbg插件,但ScyllaHide有独立运行版本,理论上可与任意调试器配合使用,实现反”反调试”。
发布时间:2022-04-29 10:58 | 阅读:32739 | 评论:0 | 标签:技术产品 WinDbg 反调试 安全技术

共赴安全云化:深信服SASE 3.0全云原生+融合架构,带来全新行业解决方案!

4月15日下午,深信服SASE战略升级发布会在线上成功举办,会上公布了全新的SASE安全架构模式——深信服SASE 3.0。深信服安全业务副总裁、SASE业务负责人林冠烨为我们深度讲解SASE 3.0全云原生架构、融合架构、高密度全安全栈三大技术革新,在原有的SASE架构上全面优化了用户体验。同时,深信服SASE市场负责人邵建华也针对实际场景应用,为我们解读了SASE3.0在运营商、教育、大企业和金融等行业解决方案。最后深信服渠道总监桂冠英公布SASE凌云合作伙伴计划,号召更多伙伴共赴SASE赛道。
发布时间:2022-04-19 14:12 | 阅读:31361 | 评论:0 | 标签:技术产品 SASE3.0 深信服 安全

NTFS Alternate Data Streams简介

阅读:9一、前言本文在Win10企业版2016 LTSB 1607(OS Build 14393.4704)上测试。NTFS ADS (Alternate Data Streams)当年是为了兼容Macintosh Hierarchical File System (HFS)而出场的,NT 3.1开始引入ADS。文件、目录、根目录都可以有ADS。ADS与”main stream”共用DACLs,无权访问”main stream”时,也无权访问附在其上的ADS。
发布时间:2022-04-14 10:57 | 阅读:31710 | 评论:0 | 标签:技术产品 MSDN NTFS 安全技术

SSD盘如何抢救被删除的文件

阅读:21Q:我一般系统盘用SSD,数据盘仍然老老实实用机械硬盘,无它,就是多一次救命的机会。昨天手贱删了一个文件,反应过来,立刻WinHex打开目标盘,蹭一下就复制、恢复到其他分区了。若是SSD,死了就凉透了。A: tk 2022-03-16执行fsutil behavior set DisableDeleteNotify NTFS 1这个你尝试过吗?如果特别希望SSD的文件删除后能恢复,可以打开这个,不过最好不打开。D: scz查了一下,tk说的这条命令会关闭SSD的TRIM特性,这样干之后WinHex能从SSD盘抢救被删除的文件,实测无误。
发布时间:2022-03-17 19:02 | 阅读:44964 | 评论:0 | 标签:技术产品 SSD 网络安全

通过“安全标记”实现工控云环境的精细化安全管理

随着城市轨道交通信息化高速发展,智慧城市轨道云平台建设已经成为必然趋势,各项业务系统上云,对轨道交通行业的数据安全保障工作提出了新的挑战,企业面临着云环境网络边界模糊、细粒度管控需求难以实现等难题,针对上述行业用户痛点,发布本期牛品推荐:天琴科技——基于标记的强制访问行为控制体系(简称标记强访控制体系),该体系通过主客代理模块对数据和用户进行标记,并与服务资源代理、安全隔离网关、集中配置模块和可视化集中展示模块协同联动,实现了对云应用相关数据安全流转的保障。
发布时间:2022-03-10 14:11 | 阅读:27786 | 评论:0 | 标签:技术产品 天琴科技 访问控制 工控 安全

Sysinternals工具的在线使用

阅读:12前些日子说起Win10创建匿名共享,跟云海讨论时听他提及Sysinternals有个在线服务,可以通过UNC路径直接执行其中的工具。恕我孤陋寡闻,虽然在其主站上看到过live.sysinternals.com,但从未查看过怎么个live法,心有疑惑,却非刚需,无意深究。只是云海说可以UNC路径直接执行就有些惊到我了,试试。客户端是Win10企业版2016 LTSB,winver显示1607(OS Build 14393.4704)。
发布时间:2022-03-10 10:55 | 阅读:25128 | 评论:0 | 标签:技术产品 Sysinternals Win10

安全防护左移,为业务系统“注入”主动安全免疫能力

信息技术的高速发展所带来的机遇与风险并存,Web应用、API网关逐渐成为黑客入侵的主要入口。数据显示,2021年,超八成网络攻击都是针对应用层面的漏洞展开的,除了企业自研代码本身的缺陷外,通过软件供应链引入的缺陷是攻击者的新“宠儿”。例如2021年末的“核弹级”Apache Log4j 2的RCE漏洞,几乎波及了 90% 的Java应用。针对越发隐避、多变的攻击手段,传统基于流量特征分析的网络安全防护设备已经显得“力不从心”,企业安全团队已经疲于应对各类0day漏洞,和为不断新增的漏洞打补丁、增加安防设备规则。
发布时间:2022-03-04 16:54 | 阅读:41453 | 评论:0 | 标签:技术产品 悬镜安全 牛品推荐 注入 防护 安全

Win10创建匿名共享

阅读:26服务端是Win10企业版2016 LTSB,winver显示1607(OS Build 14393.4704)假设C/S两侧都是Win10,只开一个匿名只读共享,不想提供user/pass就访问到,很多Win9x年代过来的会比较怀念那种匿名共享。Win10时代达到那种效果要比想像的复杂一些。
发布时间:2022-03-03 16:18 | 阅读:35442 | 评论:0 | 标签:技术产品 Win10 匿名共享 安全技术

Lighthouse/DynamoRIO/Coverage Diff入门

阅读:13一、原始需求Win10的calc与Win7的calc不一样,前者是个Store App,对应Calculator.exe。启动Win10的calc,切换到”程序员模式”,切换到16进制模式,依次输入51201314 * 41414141 =得到乘法运算结果0x14add2aaaa10ec14原始需求是,寻找前述算术运算相关代码。
发布时间:2022-02-25 18:59 | 阅读:32316 | 评论:0 | 标签:技术产品 安全技术

实现可视、可管、可控的数据安全体系化防护

数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,数据逐步成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。国家在《十四个五年规划和2035年远景目标纲要》等重要文件中,提出发展数字经济战略,统筹数据开发利用、隐私保护和公共安全,规范数据有序流通,保障数据安全。针对上述行业背景,为帮助更多企业用户落实《数据安全法》《个人信息保护法》等法律法规要求,提供数据安全规划、建设,数据安全可持续运营,发布本期牛品推荐——迪普科技:数据安全运营解决方案。
发布时间:2022-02-22 16:54 | 阅读:53751 | 评论:0 | 标签:技术产品 数据安全 牛品推荐 迪普科技 体系 防护 安全

SDN系列(46)——WinDbg Preview TTD入门

阅读:10一、安装WinDbg PreviewWinDbg Preview与传统的WinDbg不是一个东西。可以从Microsoft Store安装WinDbg Preview,可能需要先登录,匿名时可能搜不到WinDbg Preview。在cmd中执行windbgx,即可打开WinDbg Preview尽管官方要求从Microsoft Store安装WinDbg Preview,但安装结束后可以用Process Explorer找出WinDbg Preview安装目录,将之复制到别处仍可使用。
发布时间:2022-02-21 19:03 | 阅读:52052 | 评论:0 | 标签:技术产品 sdn TTD 安全技术

实现高效、高精度的静态应用安全检测

随着科技的飞速发展,网络空间的主权完整和安全也成为影响国际关系的重要因素,国家之间的竞争也在由物理空间逐渐转向网络空间,国内的网络安全也面临着越来越多的风险和挑战。根据Gartner提供的数据表示,75%的安全攻击是由软件自身漏洞造成的,针对软件漏洞的攻击已成为黑客入侵的主要方式之一,而且攻击者通过挖掘软件代码中的多个安全漏洞,形成攻击链条的不法行为,对关系到国计民生的软件系统带来了重大安全隐患。除此之外,开源文化的盛行在大幅度提升软件开发效率的同时,也增进了潜在的风险,这些开源组件中潜在的安全漏洞很可能被攻击者利用。
发布时间:2022-02-07 16:53 | 阅读:45056 | 评论:0 | 标签:技术产品 代码审核 安全测试 开源网安 安全

解决商网环境下的“信任危机”

2019年,航空工业深入贯彻落实习总书记关于网络安全和信息化工作的系列重要讲话精神,推动集团内部各成员单位之间的办公协同和数字化转型,建设了覆盖全集团所有成员单位的商密网移动办公平台。平台使用阿里专有云架构建设,企业OA、邮件、即时通、招采平台等内部应用业务系统相继上云,促进了跨地区、跨部门、跨层级的数据资源共享和业务协同。但随着移动办公和业务系统的逐渐云化,商网(商网bizws:Business Website的缩写,是由“中国商网”开发并运营的网络交易平台。
发布时间:2022-01-19 19:28 | 阅读:60564 | 评论:0 | 标签:技术产品 商网安全 格尔软件 零信任

漏洞高检出+脏数据拦截:构建“出厂即安全”的DevSecOps流程

在新技术、新生态、新业务不断涌现,国家安全要求不断提高,以及自身业务保障需求日益强烈的情况下,企业对应用的上线要求“既要快,又要质量高,还要够安全”,企业安全开发运维模式逐渐向更快更稳更安全的DevSecOps转型。在安全左移的大背景下,DevSecOps符合当前敏捷开发需求趋势,正被企业广泛认可并加速落地实践。而交互式应用程序安全测试(IAST)作为一种更适合DevSecOps 流程构建的应用程序安全检测技术,可帮助企业在应用开发期便发现安全漏洞,从而在应用上线前解决安全风险,实现“出厂即安全”。
发布时间:2022-01-13 16:50 | 阅读:55529 | 评论:0 | 标签:技术产品 火线安全 牛品推荐 漏洞 安全 DevSecOps

利用AppInfo RPC服务的UAC Bypass技术详解

阅读:16一、技术背景在我们先前的攻击技术研判中曾介绍了一种较新的UAC Bypass在野利用手法,本文将再次对其技术细节进行深入分析。该方法最初由Project Zero的研究员披露,并在随后被UACME项目的维护者完成武器化并在项目中公开。该UAC Bypass手法目前仍未被微软修复,具有较大的研究与实战价值。
发布时间:2022-01-11 10:53 | 阅读:148496 | 评论:0 | 标签:技术产品 AppInfo RPC 安全技术 app

2021年,深信服安全产品都有哪些技术亮点?

亲爱的用户朋友们:感谢大家在百忙之中来到深信服智安全2021年度技术汇报。在准备今天的汇报过程中,我们采访了几位老朋友,先来听他们讲讲这一年与深信服安全产品发生的故事……听了大家的故事,我们很感动也很开心。深信服安全产品帮助用户解决了这么多问题,这也让我们更有动力去持续迭代技术能力,持续完善更简单有效的安全产品和服务,持续提供更省心可靠的解决方案。这一年,不知道大家今年都关心哪些问题呢?都有哪些需求呢?你们应该也思考过,这些问题和需求,可以如何通过技术创新去解决?是的,你们的问题和需求,我们也在设身处地研究、思考过,并且给出了答案。
发布时间:2021-12-30 19:34 | 阅读:45297 | 评论:0 | 标签:技术产品 深信服 安全

调试services.exe进程

阅读:14一、ServicesPipeTimeout本文在Win10企业版2016 LTSB 1607(OS Build 14393.4704)上测试。Windows的SCM(Service Control Manager)启动某个服务时缺省等待30秒,超时则认为启动失败,会有其他动作,比如杀掉目标进程重启服务。假设需要调试服务启动阶段代码,断点命中后的交互式调试很容易导致服务启动阶段超时被杀,可能上一步还在kpn,下一步发现目标进程不在了。这很影响调试,幸好有注册表设置这个超时。
发布时间:2021-12-28 10:52 | 阅读:50190 | 评论:0 | 标签:技术产品 安全技术

保护工作秘密 实现安全即时通讯

互联网即时通讯软件可以大大提高工作效率,降低沟通成本。对于视频会议、共享文档、数据统计、传输文件,任务布置等工作大有裨益。但如果盲目使用互联网公有云即时通信,虽然会让工作变得更加便捷高效,但也可能导致企业组织大量隐私数据面临被泄露、被窃取等安全风险。所以政府单位、央企国企等对隐私性要求更强的组织,更应该建立安全可信的协同办公平台、即时通讯和视频会议平台,从技术角度保证数据和工作秘密的安全。介于上述行业背景,发布本期牛品推荐——北信源:信源豆豆(信源密信)安全即时通信平台。
发布时间:2021-12-17 14:06 | 阅读:44113 | 评论:0 | 标签:技术产品 北信源 即时通讯 数据安全 安全 保护

基于规则向量化的HTTP资产识别方法探索

阅读:41一、背景简介在资产探测识别当中,基于应用层协议的报文信息,利用知识规则按照特定方式对报文信息进行规则匹配来获取资产信息,是目前资产探测识别的主要手段。而基于HTTP协议层报文信息规则匹配的方法,是目前云计算、物联网、移动互联等场景下进行资产识别比较基础和常用的一种资产识别技术。从整体上来看,基于HTTP协议报文进行资产识别,主要是基于特定HTTP请求的响应报文所进行的规则匹配。按照所关注匹配的响应报文的侧重不同来讲,基于HTTP协议的资产识别方法可以进一步被分为基于头部字段顺序差异与语法差异的识别方法、基于服务标识(Banner)的识别方法,以及基于处理方式差异的识别方法等[1]。
发布时间:2021-12-14 16:13 | 阅读:53013 | 评论:0 | 标签:技术产品 HTTP 安全技术 规则向量化 资产识别

windbg禁止在ibp处设置硬件断点

阅读:9一、背景介绍在A、B两个测试环境中分别执行C:tempcdb.exe -noinh -snul -hd -o -G notepad.exe由于未指定-g,cdb断在ibp(初始化断点)。A环境中无法在ibp处ba设置硬件断点,会报错,这符合预期。
发布时间:2021-12-08 10:50 | 阅读:54865 | 评论:0 | 标签:技术产品 WinDbg 安全技术

调试Windows服务

阅读:13一、调试Windows服务知识点汇总若服务源码是自己开发的,可在被调试代码逻辑中主动调用DebugBreak(),以此呼叫”Just-In-Time Debugging”;也可通过命令行参数让被调试代码逻辑以普通控制台进程方式运行,这种没法调试SCM相关的代码。一般调试Windows服务,并非服务源码可控的情形。通常分两种情况,一种是被调试代码逻辑可以在Attach之后触发,一种是被调试代码逻辑只在服务启动时触发。第一种情况和普通调试一样,第二种情况相对复杂些,要做些特别设置。以前没有过第二种需求,只知道大概思路,未实践过。
发布时间:2021-12-06 13:33 | 阅读:55552 | 评论:0 | 标签:技术产品 Windows 安全技术 windows

Windows域名解析保护机制深度分析

阅读:122006年4月Dave Korn在[Full-disclosure]邮件列表中发言,指责微软干扰hosts文件的使用。一般FQDN的解析顺序都是hosts文件优先,但XP SP2在解析某些FQDN时不再尊重hosts中的设置。XP SP2的dnsapi.dll中固化了一批FQDN,据Dave Korn测试,至少如下两个FQDN被特殊对待了go.microsoft.comoffice.microsoft.com即使在hosts文件中将这两个FQDN解析成127.0.0.1,也会成功访问它们。当年我测过,XP SP1尚无此行为。
发布时间:2021-11-25 10:48 | 阅读:56464 | 评论:0 | 标签:技术产品 Windows 域名解析 windows 保护 分析 域名

Win10 RPC调试中RPC Client PID的利用

阅读:17一、背景介绍Win10 RPC调试时,知道RPC Client PID是一件有意义的事。有些RPC Server中的断点命中太过频繁,靠RPC Client PID进行过滤能有效调试。有些RPC Server调用栈回溯中出现远程过程,想知道哪个进程发起的RPC调用,想溯源。想拦截特定进程的域名解析,想干扰Win10的自动更新,等等。非常规需求,但大千世界芸芸众生,必有人产生过类似需求。本文演示一些Win10 RPC调试技术中的黑魔法,让Win10 RPC调试之旅更有趣些。
发布时间:2021-11-24 16:14 | 阅读:30246 | 评论:0 | 标签:技术产品 RPC Win10

网站集约化,“长亭范儿”的安全上云之旅

关键词1:改变2021年,在政府门户网站每个人都可以检索当地政府公开的信息、办理个人/企业相关业务、与政务办事人员沟通交流、下载当地经济教育医疗等各类相关公开数据。这一切便捷的服务体验在5、6年前无法想象,而这样成果的取得与我国持续推进的政府网站集约化建设工作密不可分。政府网站集约化政策节点关键词2:护航回到一切开始的2017年彼时政务云建设如火如荼,也成为政府网站集群的理想载体,然而面对大量网站集约带来的应用安全风险集中,其安全防护体系需要考量升级。
发布时间:2021-11-22 11:23 | 阅读:47656 | 评论:0 | 标签:技术产品 云安全 长亭科技 安全

Win10 FQDN解析时绕过hosts文件

阅读:7Guest的hosts文件中有一条127.0.0.1 geo2.adobe.comping它时确实解析成127地址。现在想通过调试手段达成一种效果,绕过hosts文件,使得ping时看到真实IP。
发布时间:2021-11-19 13:28 | 阅读:52204 | 评论:0 | 标签:技术产品 FQDN hosts Win10

基于蜜罐实现拟态仿真与主动欺骗防御

近年来,网络安全建设从合规需求为主,转变为更重视如何才能有效对抗真实攻击。由于蜜罐技术不同于DPI流量检测、EDR端点检测技术,它带来的是一种新安全能力:欺骗防御能力,能够在攻防对抗中主动诱捕、溯源反制,扭转攻防不对称的现状,所以蜜罐在近两三年得以有更大的市场需求。
发布时间:2021-11-17 16:43 | 阅读:59373 | 评论:0 | 标签:技术产品 主动欺骗防御 蜜罐 非凡安全 防御

盘点:8款国外热门多因素身份验证产品

如今,基于凭证的网络攻击要比以往复杂得多,这些攻击往往通过各种方式获取和填充凭证、用户名和密码,实施攻击。相较于单因素身份验证(SFA)仅针对用户密码进行验证的方式,多因素身份验证(MFA)通过结合两个或三个独立的凭证,来验证一项交易的合理性,其目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难。MFA显著增强了身份验证过程,其中较为重要的一点是:智能手机、硬件多因素身份验证令牌或基于SMS(安全管理系统)电子邮件的身份验证代码。该身份验证过程不再依赖于用户名和密码等基于安全知识的元素,因为这些元素可能会被网络钓鱼或其他恶意技术破坏。
发布时间:2021-11-11 14:05 | 阅读:56805 | 评论:0 | 标签:技术产品 数据安全 身份认证

利用findrpc寻找RPC接口信息

阅读:17参看《RpcView简介》http://scz.617.cn:8/windows/202110270957.txt就此,颜涛提到可以试试IDA插件findrpc。https://github.com/lucasg/findrpc这是个IDAPython插件,直接在IDA中Alt-F7加载,从binary中静态分析RPC相关数据结构。若在Windows上用,依赖一个外部PE还可以得到IDL文件,此时findrpc可以当成曾经的IDA插件mIDA的替代品。
发布时间:2021-11-08 10:52 | 阅读:74202 | 评论:0 | 标签:技术产品 findrpc RPC

面向云与移动化时代的“网络+安全”一体化服务

现阶段,企业数字化转型主要面临三大发展趋势:1、资产云化:与传统数据中心相比,更多企业开始在云上部署企业资产,例如CRM应用上公有云;2、应用SaaS化:相较于私有应用,数字化企业更倾向于使用外部SaaS应用,例如企业微信、WPS等常见企业级应用;3、办公远程化:与内网相比,更多用户正通过企业外部的网络来完成工作,例如居家办公。面对这些发展趋势,传统围绕数据中心的网络安全架构已不再适应企业的数字化转型发展需求,数字化企业需要更统一、简洁的IT建设解决方案。针对上述发展形式,发布本期牛品推荐——绿盟科技安全访问服务边缘SASE。
发布时间:2021-11-03 11:32 | 阅读:199873 | 评论:0 | 标签:技术产品 SASE 移动 安全 网络

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁