记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华《 Windows Kernel Pwn 101 》
《 Windows Kernel Pwn 101 》[Windows内核]-进程(process) 进程(process)是计算机系统中的一种基本概念,它是一个正在运行的程序的实例。在操作系统中,进程是分配给程序资源的基本单位,每个进程都有自己的内存空间、代码、数据、堆栈和其他系统资源。在计算机系统中,每个进程都有一个唯一的标识符,称为进程ID(process ID,PID)。进程可以有一个或多个线程,线程是进程中执行代码的执行单元。在一个进程中,所有线程共享进程的内存空间和系统资源; 进程为多任务操作系统提供了实现并发执行的机制。
发布时间:2023-03-26 21:16 |
阅读:35918 | 评论:0 |
标签:windows
r77 Windows Rootkit-无文件的后门、dll劫持、持久性和隐身功能
排版有点乱,轻喷。内容更重要1摘要 r77 Rootkit 是一个无文件的 ring 3 rootkit。它的主要目的是隐藏文件、目录、进程、服务、注册表项等。 此外,rootkit 附带一个在操作系统上保留 r77 的安装程序。安装是完全无文件的,这意味着没有文件写入磁盘。 r77 完全依赖内存操作,并始终保留在系统内存中。安装程序的持久性机制允许它在 Windows 重新启动后继续运行。对于 r77 的部署,只需要一个只需要执行一次的可执行文件。
Windows11截图工具会泄露原图信息
屏幕截图工具是Windows最常用的工具之一,但是最近该工具曝出一个严重的隐私漏洞会泄露用户截图的“原图”。近日,安全研究人员David Buchanan和Simon Aarons发现Google Pixel手机内置的图片编辑工具中的一个漏洞(acropalypse),可导致裁切图片的原图数据被保留和恢复,Windows截图工具也受该漏洞影响。此漏洞会造成严重的隐私问题,因为如果用户与他人分享裁切前包含敏感信息的图片(例如带有号码的信用卡或面部信息的照片)则可能导致敏感信息泄露。
CVE-2023-21752 Windows 备份服务漏洞分析
简介Windows备份服务为计算机提供备份和还原的功能。它依赖于Microsoft Windows备份引擎,提供了备份和还原的基本功能,例如备份系统镜像、文件、文件夹和应用程序数据等。CVE-2023-21752微软在2023年1月份修复的一个位于Windows备份服务中的任意文件删除漏洞。由于Windows备份引擎在文件夹权限验证时处理不当,攻击者可构造恶意代码实现任意文件删除,进而导致特权提升。
拦截Windows关机消息
本文为看雪论坛优秀文章看雪论坛作者ID:0346954写了一个小工具,可以通过Hook Winlogon进程主模块的导入表、延迟导入表来拦截对于User32!ExitWindowsEx函数的调用。整个步骤如下:1、启动一个进程,注入DLL到Winlogon进程。(1) 因为winlogon进程是system级别进程,所以要让注入进程已管理员方式启动,并使能SeDebugPrivilege权限,这样才可以注入system进程。(2) 通过进程枚举获取到winlogon进程的PID,这个过程还可以判断session会话,因为同一时刻,系统中可能存在多个winlogon进程。
发布时间:2023-03-19 19:07 |
阅读:76640 | 评论:0 |
标签:windows
Windows应用层实现VmWare穿透读写-实现无签名驱动加载
写这篇,最开始是无聊。后面想想在windows三环直接操控VmWare里面WIN10的内存,这不就相当于实现了一套简易版的windows内存解析,对学习和了解内存是非常方便的事情,甚至说对了解整个windows内核都是一个有益的事情。因为实现这么个框架的话,我在三环就可以随意修改内核里面的数据,去验证和学习底层知识(如内存、注册表、对象管理器等等),抱着这样的目的,差不多写了两个星期,完成了一个简易版的框架(DEMO),里面的知识仅仅需要一点点C语言、汇编、PE、保护模式、windows内核方面的知识,就能了解原理。
发布时间:2023-03-14 10:37 |
阅读:64776 | 评论:0 |
标签:windows
【论文分享】Windows 代码签名证书撤销有效性的测量研究
今天分享的论文主题是围绕Windows代码签名证书的撤销有效性进行大规模测量研究,主要由美国马里兰大学的研究人员完成。根据测量结果,该论文发现目前的代码签名证书撤销过程存在严重的安全问题,致使签名的恶意软件在证书撤销后仍有可能被客户端信任。作者收集了大量代码签名证书与证书撤销相关信息的数据集,首次对代码签名证书撤销过程进行端到端的测量,并分析了撤销过程中存在的安全威胁。论文发表于国际网络安全顶级学术会议 USENIX Security'18(录取率:19.1%)。全文约3600字,阅读时间约11分钟。
发布时间:2023-03-08 00:19 |
阅读:94417 | 评论:0 |
标签:windows
Nvidia修复 Windows BSOD及高CPU使用率驱动程序
日前,有消息证实Nvidia正在努力解决导致Windows系统上CPU使用率过高和蓝屏死机 (BSOD) 的驱动程序问题。有问题的驱动程序是2月28日发布的GeForce Game Ready 531.18 WHQL 驱动程序,该驱动程序引入了对 RTX 视频超分辨率的支持。此前几天,客户一直在公司论坛和社交媒体上抱怨 Nvidia 显示容器服务加载的 Nvidia 游戏会话遥测插件 (NvGSTPlugin.dll) 在关闭后导致 Windows 系统的CPU 峰值达到10%或更多游戏或渲染应用程序。
初识内存取证-volatility与Easy_dump
volatility
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
记录调试Windows服务操作
本文为看雪论坛优秀文章看雪论坛作者ID:PlaneJun如题,近日分析了一个样本,发现需要调试服务,然后自己也没调试过服务,就在国内查了一些资料,基本能用的也就看雪一个大哥发的教程(https://bbs.pediy.com/thread-229643.htm)。但是跟着操作弄了一遍,虽然是弄好了,但是会出现一个情况就是调试器会非常的卡,而且过了一会就消失了,整个虚拟机就直接是卡死状态,研究了许久还是解决不了就放弃了。然后就自己办法弄,考虑过写驱动给拦截了,但是VS2022没有WDK,于是想到全局API Hook,然后发现svchost.exe不过消息队列。
发布时间:2023-03-04 20:38 |
阅读:118518 | 评论:0 |
标签:windows
首个能绕过Windows 11安全启动的恶意软件问世
近日,斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI(统一可扩展固件接口)的bootkit恶意软件——BlackLotus(黑莲花),已在地下网络黑市中销售,构成重大网络安全威胁。BlackLotus利用了一个编号为CVE-2022-21894(又名Baton Drop)的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中,可以完全控制操作系统启动过程,而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。
首个能绕过 Windows 11 安全启动的恶意软件问世
近日,斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI(统一可扩展固件接口)的bootkit恶意软件——BlackLotus(黑莲花),已在地下网络黑市中销售,构成重大网络安全威胁。
BlackLotus利用了一个编号为CVE-2022-21894(又名Baton Drop)的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中,可以完全控制操作系统启动过程,而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。
BlackLotus成首个绕过Windows11安全引导的UEFI Bootkit恶意软件
一种名为BlackLotus的隐蔽统一可扩展固件接口(UEFI)引导套件已成为第一个能够绕过安全引导防御的已知恶意软件,使其成为网络环境中的一个强大威胁。日前,斯洛伐克网络安全公司ESET在与 The Hacker News 分享的一份报告中说:“这个 bootkit 甚至可以在启用了 UEFI 安全启动的完全最新的 Windows 11系统上运行。”UEFI bootkit部署在系统固件中,允许完全控制操作系统 (OS) 启动过程,从而可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。
原创Paper | ProxmoxVE 下的 Windows 内核调试环境配置
#404原创Paper 127个 作者:0x7F@知道创宇404实验室日期:2023年2月27日0x00 前言参考资料Windows内核调试常用于 windows 驱动开发调试、内核分析等,使用 WinDBG 可以很方便的进行本地内核调试,但本地内核调试存在较多的限制(如不能使用导致主机暂停运行的指令),通常我们都会通过虚拟机软件搭建 windows 双机调试环境,其中一台作为调试机(debuger),另一台作为被调试机(debugee),双机调试几乎可以满足大部分的 windows 内核分析、调试等工作。
Windows 2000系统的一个0day漏洞发现过程
本文为看雪论坛优秀文章看雪论坛作者ID:Qfwfq-其实安装这个系统的本意是折腾老游戏,装点菠萝1之类的玩玩,结果找到了个漏洞。这个漏洞位于cmd.exe,是一个缓冲区溢出漏洞,我在公开资料上没有查询到该漏洞的任何信息,也不知道是我没查到,还是确实没人公开它,如果有谁查到这个漏洞的信息了记得提醒我一下。
PlugX木马伪装合法Windows调试器工具流窜
安全研究人员观察到,PlugX远程访问木马伪装成一个名为x64dbg的开源Windows调试器工具,试图绕过安全保护并获得对目标系统的控制。PlugX远程访问木马伪装成名为 x64dbg 的开源 Windows 调试器工具,试图绕过安全保护并获得对目标系统的控制。“这个文件是 Windows 的合法开源调试器工具,通常用于检查内核模式和用户模式代码、故障转储或 CPU 寄存器,”趋势科技研究人员 Buddy Tancio、Jed Valderama 和 Catherine Loveria在上周发表的一份报告。
注意!这一远程木马被伪装成合法的Windows开源工具,悄然传播
近日,趋势科技发现了一波新的攻击,目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。经研究人员分析x32dbg.exe有一个有效的数字签名,因此它被错认为是安全的。这让攻击者能够逃避检测,保持持久性,提升权限,并绕过文件执行限制。该RAT使用DLL侧面加载,如x32dbg调试工具(x32dbg.exe)时,恶意加载自身有效载荷DLL。攻击者通过修改注册表和创建计划任务来实现持久性,即使在系统重新启动时也能保持访问。
注意!这一远程木马被伪装成合法的 Windows 开源工具,悄然传播
近日,趋势科技发现了一波新的攻击,目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。
经研究人员分析x32dbg.exe有一个有效的数字签名,因此它被错认为是安全的。这让攻击者能够逃避检测,保持持久性,提升权限,并绕过文件执行限制。
该RAT使用DLL侧面加载,如x32dbg调试工具(x32dbg.exe)时,恶意加载自身有效载荷DLL。
攻击者通过修改注册表和创建计划任务来实现持久性,即使在系统重新启动时也能保持访问。
ProxmoxVE 下的 Windows 内核调试环境配置
作者:0x7F@知道创宇404实验室日期:2023年2月27日0x00 前言windows内核调试常用于 windows 驱动开发调试、内核分析等,使用 WinDBG 可以很方便的进行本地内核调试,但本地内核调试存在较多的限制(如不能使用导致主机暂停运行的指令),通常我们都会通过虚拟机软件搭建 windows 双机调试环境,其中一台作为调试机(debuger),另一台作为被调试机(debugee),双机调试几乎可以满足大部分的 windows 内核分析、调试等工作。
记录调试Windows服务的操作
本文为看雪论坛优秀文章看雪论坛作者ID:PlaneJun如题,近日分析了一个样本,发现需要调试服务,然后自己也没调试过服务,就在国内查了一些资料,基本能用的也就看雪一个大哥发的教程(https://bbs.pediy.com/thread-229643.htm)。但是跟着操作弄了一遍,虽然是弄好了,但是会出现一个情况就是调试器会非常的卡,而且过了一会就消失了,整个虚拟机就直接是卡死状态,研究了许久还是解决不了就放弃了。然后就自己办法弄,考虑过写驱动给拦截了,但是VS2022没有WDK,于是想到全局API Hook,然后发现svchost.exe不过消息队列。
发布时间:2023-02-25 18:26 |
阅读:134912 | 评论:0 |
标签:windows
A Practical Tutorial on PCIe for Total Beginners on Windows (Part 1)
Foreword about the seriesHello! I have been speaking to some friends and coworkers lately interested in learning more about PCIe but feeling intimidated by the complexity or the lack of simple resourc
黑客借虚假ChatGPT应用程序推送Windows/Android恶意软件
威胁行为者正在积极利用OpenAI的ChatGPT AI工具的普及来分发Windows恶意软件,用间谍软件感染Android设备,或将受害者引导到网络钓鱼页面。ChatGPT自2022年11月推出以来获得了巨大的吸引力,成为现代历史上增长最快的消费者应用程序,到2023年1月用户已超过1亿。这种巨大的普及和快速增长迫使 OpenAI 限制了该工具的使用,并为想要使用聊天机器人且没有可用性限制的个人推出了每月20美元的付费套餐 (ChatGPT Plus)。
黑客仿冒ChatGPT应用程序,传播Windows、Android恶意软件
自从去年11月OpenAI面向公众推出ChatGPT聊天机器人以来,该人工智能工具在短时间内就吸引了数以亿计的用户。ChatGPT能够回答用户提出的绝大多数问题,有助于用户提高生产力,兼具趣味性和实用性的特点使其成为了眼下的一大热门话题。但与此同时,不法分子也从中发现了可乘之机。国外的Cyble研究团队(CRIL ,Cyble Research and Intelligence Labs)最近就发现了几起利用ChatGPT的流行传播恶意软件并实施其他网络攻击的案例。CRIL检测到数个钓鱼网站正在通过欺诈性广告进行推广,以传播各种类型的恶意软件。
报告称 macOS 用户主要受广告软件困扰;Windows 用户易受勒索软件攻击
IT之家 2 月 23 日消息,根据网络安全公司 Malwarebytes 公布的最新报告,macOS 和 Windows 用户所面临的网络安全风险存在差异,攻击者针对两个平台采取了不同的攻击策略。攻击者已经放弃了诸如在 Word 文档中嵌入恶意的宏代码、或者利用 Flash 中的诸多漏洞等传统“广撒网”的攻击手段。报告中指出,macOS 用户主要面临“欺骗性、复杂、难以删除的广告软件”攻击。Malwarebytes 在 macOS 平台上检测到的 10% 恶意软件,都是来自名为 OSX.Genio 的广告软件。
恶意程序滥用微软IIS功能在Windows上执行恶意代码
安全公司赛门铁克的研究人员发现一种恶意程序滥用微软 IIS 的一项功能隐蔽的渗出数据和执行恶意代码。微软 IIS(Internet Information Services)是广泛使用的 Web 服务器,它的一项功能叫 Failed Request Event Buffering(FREB),旨在帮助管理员诊断错误,FREB 能从缓存中将部分错误相关的请求写入磁盘。
Windows和Linux下压缩包密码破解工具
#压缩包 1 个 #基础教程 138 个 #网络安全 15 个 #kali工具 88 个 在平时的工作中,我们都会遇到过压缩包密码忘记的情况。当我们急需要此文件时,怎么找回压缩包的密码呢?本文让我们一起来学习吧。Linux工具在Linux中,我们常用fcrackzip这款工具来找回我们的密码。在kali中此工具默认安装。如果其他系统想要安装此工具,我们只需执行下面命令即可。
CVE-2021-42287 Windows域内提权漏洞原理分析
本文为看雪论坛优秀文章看雪论坛作者ID:dre4merp本文更多的是根据调试Windows Server 2003,分析漏洞成因。阅读本文需要一定的Kerberos基础知识、Windows源码阅读调试能力。单纯的阅读可能并不能完全理解其中的关键点,需要进行调试理解。一背景漏洞编号为:CVE-2021-42278 和 CVE-2021-42287CVE-2021-42278:通常情况下,机器账户应以$结尾,即DC$。但是AD域并没有对其进行强校验。通过建立与域控同名却不以$结尾的机器账户,即DC,对域控进行欺骗。
Windows平台用户层二进制漏洞模糊测试入门
本文为看雪论坛优秀文章看雪论坛作者ID:1900一模糊测试的基础知识1.模糊测试的定义通过向应用程序提供非预期输入并监控输出中的异常来发现软件中的故障的方法。利用自动化或是半自动化的方法重复地向应用提供输入。用于模糊测试地模糊测试器分为两类:基于变异地模糊测试器:通过对已有的数据样本进行变异来创建测试用例。基于生成地模糊测试器:为被测系统使用的协议或是文件格式建模,基于模型生成输入并据此创建测试用例。2.模糊测试各阶段采用何种模糊测试方法取决于众对因素。没有所谓的一定正确的模糊测试方法,决定采用何种模糊测试方法完全依赖于被测应用,测试者拥有的技能,以及被进行模糊测试的数据的格式。
PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机
安全研究人员近日分析了 PlugX 恶意软件的一个变种,这个变种可以将恶意文件隐藏在可移动 USB 设备上,然后伺机感染 USB 设备所连接的 Windows 主机。这种恶意软件使用了研究人员所说的 " 一种新颖技术 ",可以让它在较长时间内不被发现,并且有可能传播到严加保护的系统。
SonicWall 发出警告,Windows 11安全存在“局限性”
前不久号称史上最好的Windows系统“Win11”宣布首个正式版21H2将逐渐下线,系统用户将全面升级至22H2。
强制升级
前不久微软发出公告表示,Windows 11首个版本21H2(Build 22000)将于10月10日结束支持。所以官方决定,将面向 Windows 11 21H2 家庭版和专业版的设备开启自动更新到 Windows 11 22H2 版本。微软也开始通过 Windows Update 广泛部署 Windows 11 22H2。
同时微软称,此次更新将是渐进式的、长期的,并优先考虑面向运行 21H2 版本的设备。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
❤用费0款退球星,年1期效有员会
