记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

OALabs-VM:全自动化的虚拟机分析平台

OALabs-VM的灵感来源Windows虚拟机(VM)是分析恶意软件最重要的工具之一,虚拟机允许分析人员灵活的调试恶意软件,而不必担心感染主机。如果虚拟机受到感染,可以快速的恢复到原来的系统,继续进行分析。传统上,恶意软件分析人员必须在自己的虚拟机中使用一系列配套的分析工具,相当麻烦,不过在2017年,FLARE-VM的出现,让虚拟机的使用不再那么复杂。FLARE VM是一款以Windows为基础的免费开源的虚拟机,专为逆向分析工程师、恶意软件分析研究员、事件响应人员、安全取证人员以及渗透测试者设计。FLARE VM借鉴了基于Linux的安全开源发行版的思想(如Kali Linux、REMnux以及其他Linux发行
发布时间:2018-07-24 12:20 | 阅读:86933 | 评论:0 | 标签:技术 虚拟机

微软警告:小心云端虚拟机的武器化

微软放出了坏消息,公司企业在云端找到安全天堂的美梦破灭。如今,IT部门不断增加的网络安全问题列表中,可以添加上武器化云虚拟机这一条了。微软日前发布了其安全情报报告第22卷。该报告经由2017年第1季度收集到的威胁数据编译而成。毫无意外,攻击者继续跟着目标的脚步走,而如今,战场延伸到了云端。在云武器化威胁场景中,攻击者通过入侵控制一个或多个虚拟机,在云基础设施里建立桥头堡。然后,攻击者便可利用这些虚拟机发起攻击,比如针对其他虚拟机的暴力破解攻击,用于网络钓鱼邮件攻击的垃圾邮件行动、端口扫描之类的新攻击目标侦察行动,以及其他恶意活动。第1季度里,微软Azure安全中心服务见证了很多出站攻击尝试,主要是为了与恶意IP地址建立通信(51%)和进行远程桌面协议(RDP)暴力破解攻击尝试。攻击者还试图使用基于云的虚拟机来群
发布时间:2017-08-26 23:45 | 阅读:92258 | 评论:0 | 标签:行业动态 发动攻击 微软Azure 虚拟机

恶意样本分析手册-虚拟机检测篇(上)

阅读: 313每台虚拟机的组成要素:虚拟机的os,应用程序需要的各种包,应用程序。而每一台虚拟机都是在Hypervisor的基础上建立起来的。下面来看一下什么是Hypervisor。文章目录虚拟机简介HypervisorHypervisor的构成虚拟化技术什么是虚拟化为什么要用虚拟化CPU指令的特权级虚拟化基本类型全虚拟化(FullVirtulization)完全虚拟化的动机完全虚拟化的类型虚拟化硬件虚拟化网络虚拟化存储Guest OS Images完全虚拟化使用案例服务器虚拟化单服务器虚拟化多服务器虚拟化桌面虚拟化半虚拟化(Parairtulization)半虚拟化总体架构虚拟抽象层(Hypervisor)主控制域(Domain0)被控制域(DomainU)设计方法概述通信机制CPU虚拟化内存虚拟化设备虚拟化
发布时间:2017-08-15 11:30 | 阅读:131916 | 评论:0 | 标签:安全报告 Hypervisor 半虚拟化 绿盟科技 虚拟化技术 虚拟机

SR-IOV VF在KVM下Intel 82599ES的应用

阅读: 105SR-IOV 技术是一种基于硬件的虚拟化解决方案,可提高性能和可伸缩性。SR-IOV 标准允许在虚拟机之间高效共享 PCIe(Peripheral Component Interconnect Express,快速外设组件互连)设备,并且它是在硬件中实现的,可以获得能够与本机性能媲美的 I/O 性能。SR-IOV 规范定义了新的标准,根据该标准,创建的新设备可允许将虚拟机直接连接到 I/O 设备。PF就是物理网卡所支持的一项PCI功能,PF可以扩展出若干个VFVF是支持SRIOV的物理网卡所虚拟出的一个“网卡”或者说虚出来的一个实例,它会以一个独立网卡的形式呈现出来,每一个VF有它自己独享的PCI配置区域,并且可能与其他VF共享着同一个物理资源(公用同一个物理网口)PF miniport driv
发布时间:2017-08-09 02:45 | 阅读:114974 | 评论:0 | 标签:安全分享 Intel 82599ES SR-IOV 技术 SR-IOV 标准 虚拟化解决方案 虚拟机

虚拟机比容器更安全?

理论上,是的。实际上,也许。 我们常说,“HTTPS安全”,或者“HTTP不安全”。但我们真正的意思是,“HTTPS更难以窃听,难以进行中间人攻击”,或者“电脑小白都能偷听HTTP通信”。 然而,HTTPS已经被黑过了,而某些情况下,HTTP已足够安全。而且,一旦在支持HTTPS的常用实现中发现可利用的缺陷(想想OpenSSL和心脏滴血),HTTPS就会在该实现被修正之前都被当成入侵的门道。 HTTP和HTTPS是IETF(互联网工程任务组) RFC 7230-7237和2828中定义的协议。HTTPS被设计成HTTP的安全版本,但说HTTPS安全而HTTP不安全,却隐藏了重要的例外情况。 虚拟机(VM)和容器的定义没那么严格,也没有被特意设计成谁比谁更安全。因此,这里面的安全问题就更加隐晦了。 为什么虚拟机
发布时间:2017-05-24 19:25 | 阅读:92987 | 评论:0 | 标签:术有专攻 安全性 安全漏洞 容器 虚拟机

内存去重 黑客的好朋友

第33届混沌通信大会(33C3)上,安东尼奥·巴雷西和埃里克·柏斯曼拿出了3个基于虚拟机内存去重漏洞利用的黑客方法演示。 内存去重是多虚拟机设置的禁果,即危险又诱人。想象一下你环境中托管了很多虚拟机,这些机器当中很多台在同一时刻内存中的东西都是一样的。或许我们都在看猫咪视频,那就完全可以只保存一个副本到全局内存中,每台用到该视频的虚拟机到共享内存块中自取即可。理论上隔离的机器其实是共享物理内存的。这里面存在什么漏洞呢? 基本上,当内存去重的时候,想要访问那块内存,所花的时间会稍长一些,因为虚拟机(VM)得去查找自身以外的内存地址。如果攻击者对找出有没有其他虚拟机也在看猫咪视频感兴趣,他可以将视频放到自己的内存中,等待VM管理器来去重,然后计时自身内存发生改变需要等多久。如果超出某个阈值,说明还有其他人也在看那
发布时间:2017-02-07 16:50 | 阅读:103260 | 评论:0 | 标签:黑极空间 CAIN攻击 rowhammer 内存去重 安全漏洞 虚拟机

恶意活动隐匿新去处:虚拟机

网络罪犯发现了在被感染机器上隐藏自身罪恶活动的新方法——使用虚拟机。 2016年7月,SecureWorks团队观测到一名攻击者在被感染计算机上创建了一台虚拟机(VM),并试图使用这台VM来规避检测。该事件,是在SecureWorks为曾受到针对性攻击的某客户监视进程创建活动的时候被发现的。 研究人员还发现,攻击者已经取得了被感染环境一定程度的权限,可以通过终端服务客户端与Windows资源管理器shell互动。攻击者使用微软管理控制台(MMC),来启动Hyper-V虚拟机管理器。 虚拟机就是操作系统内的操作系统,可供用户测试应用程序,或在安全软件管理范围之外执行其他各种动作而又不会危及整个系统。如果虚拟机系统崩溃,直接删除或用另一个替换掉就行了,几分钟的事儿。 因为安全研究员使用VM分析恶意软件,网络罪犯就
发布时间:2016-09-02 16:35 | 阅读:70715 | 评论:0 | 标签:威胁情报 MMC VM 恶意活动 虚拟机

17条网络安全守则 成就高安全防护水平的公司

觉得自己没那么容易被黑?非也!黑客眼里,绝大多数人都是毫不设防的小绵羊。想维持安全状态,以下几个秘密不可不看。被请去做计算机安全实践评估的时候,会看到公司整体实践中哪些有用而哪些根本就是摆设。一名从事信息安全咨询20余年的顾问,每年都会分析20~50家大大小小的公司,他基于这么多年的评估经验能出一个结论:成功的安全策略不在于工具——在于团队。只要在正确的地方配置对的人,有支持性管理和执行良好的防护过程,无论你使用的是什么工具,你的公司都会非常安全。了解计算机安全的重要性,把安全作为业务关键部分,而不仅仅是罪恶之源来看待的公司,也是最不容易遭受灾难性数据泄露的公司。每家公司都觉得自己拥有这种公司文化;然而,极少有公司真正做到。下面列出的,是几家在安全方面有着非常高的防护水平公司所采用的通行实践和策略,堪称保证自身
发布时间:2016-06-08 07:10 | 阅读:69743 | 评论:0 | 标签:术有专攻 培训 网络安全守则 虚拟机 隔离

Shellcode分析工具PyAna

背景介绍Shellcode分析非常重要。然而,静态分析效果不佳,并且很容易失败。另外,静态分析工具通常不是免费的。而动态分析需要在适当的环境中,将shellcode加载到另一个进程中,通常是一个虚拟机。PyAna原理本文中我们将介绍一款新工具PyAna,该工具旨在使得分析shellcode更容易。PyAna使用Unicorn框架来模拟CPU,并创建一个虚拟的Windows进程,shellcode就是注入到该进程中来分析的。这使得它能够做到自动化分析,并能够提供一个灵活的轻量级环境,而不需要一个虚拟机。在未来,PyAna将可以应用于其他领域的安全研究,如fuzzing或漏洞利用检测。使用方法命令行类型:PyAna.py [shellcode]例如:PyAna.py Samples/UrlDo
发布时间:2016-01-14 15:25 | 阅读:106499 | 评论:0 | 标签:工具 系统安全 PyAna shellcode 注入 虚拟机

“破天”:Xen虚拟化平台虚拟机逃逸漏洞分析

Xen是领先的开源虚拟化平台,支撑着亚马逊云、阿里云等众多知名的公有云服务的基础建设,因此,保证虚拟化基础设施的安全性具有重要意义。阿里云安全漏洞研究团队致力于云安全威胁的研究与追踪,近日,我们发现并提交了一处Xen平台下的虚拟机逃逸漏洞,漏洞编号为XSA-148/CVE-2015-7835,鉴于该漏洞利用简单且威力强大,我们将它命名为“破天(Dome Breaking)”漏洞。“破天”漏洞详情“破天”漏洞从Xen 3.4版本开始引入,后续版本包括最新发布的Xen 4.6都受该漏洞的影响。攻击者可以利用一台以PV模式运行的虚拟机轻易实现虚拟机逃逸,从而可以进一步控制Xen Hypervisor、Dom0以及当前物理机器上运行的其他所有虚拟机。该漏洞存在于Xen Hypervisor的内存管
发布时间:2015-10-30 18:55 | 阅读:127234 | 评论:0 | 标签:无线安全 漏洞 破天 虚拟机

PANDA:下一代动态分析平台

PANDA简介:PANDA是构建于顶级QEMU系统上的新一代动态分析平台[1],这使得他可以访问所有正在执行的代码并且可在客户虚拟机操作所有数据,PANDA支持所有基于Qemu体系的模拟器,所以在LLVM IR中每一条指令都能被有效执行。PANDA提供了许多用于有效分析软件的特性!记录和回放:提供记录功能,记录下系统所有的指令方便后面的回放以及后续的分析工作,这个功能独特且十分强大,目前支持i386, x86_64 以及 ARM架构。插件体系:可以简单轻松的写一个插件,这样你就可以随着自己的需求扩展PANDA。执行LLVM:提供了一种将客户虚拟机中的执行代码转换为LLVM的解决方案,将LLVM的优势发挥到极致,包括分析LLVM代码示例。提供了简化代码分析,我们
发布时间:2015-09-04 23:50 | 阅读:125662 | 评论:0 | 标签:安全管理 工具 linux PADNA QEMU 分析平台 虚拟机

如何用TOR搭建软路由

尽管文中介绍的方法同样适用于Tor浏览器之外的其他匿名代理,但我们还是专注于介绍如何在研究环境中建立安全的Tor。通过Tor通信的VM正如大多安全研究者所经历的,在VM(Virtual Machine虚拟机)中分析恶意软件或者exp的时候都需要做一个重要决定,而大多数人更愿意选择在离线环境中进行逆向,但是如果你是在监控C&C通信或者一个exp工具包,那离线环境就不可行了。你会使用你真实的IP吗?你会使用强迫所有东西通过tor的第三方代理工具吗(希望没有软件会将你的IP泄露出去)?你会通过一个VPN运行整个系统,然后再重新链接回你的所有软件吗?我想出的解决方案是使用一个独立的虚拟机创建一个透明的Tor代理作为路由器,而虚拟机可以用于让所有流量通过Tor(无须额外配置或者软件,甚至不会
发布时间:2015-08-28 01:30 | 阅读:173931 | 评论:0 | 标签:其他 tor 虚拟机 软路由

虚拟机危险!一个存在11年的缓冲区溢出漏洞--毒液

CrowdStrike的研究人员昨日声称,他们发现当今大多数最流行的虚拟机平台软件中,都存在一个缓冲区溢出漏洞,该漏洞能够潜在的导致攻击者访问主机。雪上加霜的是,即使管理员禁止访问虚拟软盘驱动代码(话说这年代谁还用软盘?),另一个完全无关的漏洞,仍然允许该代码被访问。由于害怕媒体放大漏洞危害而引起恐慌,研究人员在建立了介绍及修补“毒液”漏洞的网站之后才通知了媒体。研究人员将这个漏洞称为“毒液”(VENOM,虚拟环境忽略运行处理),因为它利用了被长时间忽略的代码,虚拟软盘控制器。发现这个漏洞的杰森·盖夫纳表示,受影响的平台包括Xen、KVM、Oracle VM VirtualBox和QEMU客户端。这些虚拟机软件被提供云计算和基础设施的服务提供商和设备厂商广泛使用,占据全世界虚拟软件市场的绝大多数。估计可能有数百
发布时间:2015-05-14 23:45 | 阅读:88341 | 评论:0 | 标签:动态 安全警报 毒液 虚拟机 溢出 漏洞

在Mac上安裝Windows7 – VirtualBox篇

導言VirtualBox、VMware Fusion 跟 Parallels Desktop for Mac 是在 Mac上最知名的虛擬機軟體。其中昇陽公司出的 VirtualBox 更是這三大軟體裡,唯一一個免費的。可別因為它是免費的就小看它耶,一些該有的設定,像是檔案夾分享、無縫模式、滑鼠整合等等,它都沒少。尤其日前昇陽公 司被全球第二大軟體公司甲骨文所併購,若是該公司願意繼續對此軟體提供開發,那將來功能超越另外兩個虛擬機軟體也不無可能(只是希望那時別變得要收費就好 了)。首先介紹本篇教學的使用環境:·Mac OS X 10.5.7·MacBook, 2 GHz Intel Core Duo·VirtualBox 2.2.2·Windows 7 Release Candidate 7100_x86本篇教學目
发布时间:2013-10-05 16:35 | 阅读:98147 | 评论:0 | 标签:虚拟机 virtualbox

优化VMware提高虚拟机运行速度的技巧

vmware虚拟机如何设置不当的话会造成运行速度慢,并影响主机运行,甚至会出现死机。1 修改preference中的选项(全局设置)a 进入设置界面的方法如下图所示:b 修改虚拟机内存的使用方式(关键)这步也是关键步骤之一,否则也会因为读硬盘而导致虚拟机速度明显下降(同时硬盘狂叫,读硬盘是虚拟机速度慢的主要原因)。选中“Fit all virtual machinememory into reserved host RAM”。如下图所示,这样虚拟机就只使用物理内存,不会读硬盘了,当然了,要保证宿主机物理内存有足够的空余供虚拟机使用,否则会出现争用。c 设置priority中Input grabbed为high2 单个虚拟机的设置a 进入设置界面的方法如下图:b 内存的设置内存设置的原则是:所有虚拟机同时使用的最
发布时间:2013-09-26 19:45 | 阅读:110888 | 评论:0 | 标签:虚拟机 VmWare

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云