记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

实现系统调用的几种方法

本文,我们将讨论在x86上实现用户到内核转换的许多方法,即系统调用。让我们首先快速回顾一下实际需要完成哪些系统调用。在现代操作系统中,用户模式(执行普通应用程序代码)和内核模式(能够接触系统配置和设备)是有区别的。系统调用是应用程序从操作系统内核请求服务并弥合它们之间差距的一种方法。为了实现这一点,CPU需要为应用程序提供一种机制,使其能够安全地从用户模式转换到内核模式。所以在这样的运行环境中,安全是最重要的,意味着应用程序不能跳转到任意的内核代码。否则,这将允许应用程序在系统上做它想做的任何事情,留下安全隐患。内核必须能够配置定义的入口点,而处理器的系统调用机制必须强制执行这些入口点。在处理系统调用之后,操作系统还需
发布时间:2019-09-07 13:10 | 阅读:19732 | 评论:0 | 标签:Web安全 系统调用

九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析

介绍过去发现的威胁常常会随着时间的推移而逐渐退出于公众视野中,但China Chopper却保持了长久的生命力。在过去两年的时间里,思科Talos团队观察到China Chopper大量活动的踪迹,有数个威胁组织将China Chopper融入到其行动中,这表明,即使距China Chopper首次发现已经过了九年,对部分威胁行为者而言它却依然能起到关键的作用。本文将选择其中最活跃的三次行动来分析。China Chopper是一种web shell,能让攻击者通过包含控制目标所需所有逻辑的客户端应用程序保留对受感染系统的访问权限。China Chopper是广泛可用的,几乎任何人都可以使用它。这也意味着,仅以China
发布时间:2019-09-06 18:10 | 阅读:22147 | 评论:0 | 标签:Web安全 China Chopper

提取字符串方法在恶意软件分析中的应用

目前逆向工程师、安全分析人员和事件响应人员在分析恶意软件二进制文件时,已经拥有了大量成熟的工具。在进行恶意软件分析时,为了逐步收集有关二进制文件功能的线索,设计对应的检测方法,并确定最终的环境措施,他们会相继应用这些工具。最常用的初始步骤便是通过字符串程序检查它的可打印字符。如果二进制文件执行诸如打印错误消息、连接到URL、创建注册表项或将文件复制到特定位置等操作,那么它通常会包含一些有助于未来分析的字符串。注:字符串程序在NT和Win2K上工作时,意味着可执行文件和目标文件会多次嵌入UNICODE字符串,使用标准ASCII字符串或grep程序无法轻松查看。字符串只扫描你传递的文件,以获取默认长度为3或更多UNICOD
发布时间:2019-09-04 11:30 | 阅读:22483 | 评论:0 | 标签:Web安全 恶意软件

flare-emu的分析功能被进一步拓展

IDAPython 库 flare-emu团队新开发的一个库,这个库是依赖于 IDA Pro 和 Unicorn 模拟框架,并为让逆向工程师可以通过脚本对代码的功能进行模拟,Unicorn 支持 x86, x86_64, ARM 以及 ARM64 架构。flare-emu为用户的脚本模拟提供了一个易于使用并且灵活的接口,旨在为不同的体系架构设置灵活且健壮的模拟器的所有基础工作,这样你就可以专注于解决代码分析的问题。5个不同的接口它目前提供了5个不同的接口来处理你的代码模拟需求,而且它还有一系列相关的帮助和工具函数。1.emulateRange这个API能够在用户指定的上下文中模拟一系列指令或函数,对于用户定义的钩子,它
发布时间:2019-09-02 20:45 | 阅读:17452 | 评论:0 | 标签:Web安全 flare-emu Unicorn

理解网络安全领域的纵深防御策略

网络安全领域的发展速度太快,隔一段时间就会有一些流行语和技术术语冒出来。如果你有一段时间不关注该领域,则感觉已经跟不上时代了。“纵深防御”(Defence-in-Depth, DiD)就是这样一个技术术语。那么为什么会出现这个术语呢?简单地说,DiD要求将安全性应用于多个层,其工作原理是为每个层提供不同类型的保护,以便为提供阻止攻击的最佳手段。这些层也可以防止不同的问题,全方位覆盖多个不同问题。那么,我们如何使用该策略呢?简单地说,我们将不同的安全措施分组到不同的功能类别中并应用它们。这与传统的物理安全的实现方式或分组方式没有太大区别。纵深防御的思路事实上,任何负责任的安全专家都会告诉你,绝对没有办法100%保护你的I
发布时间:2019-09-02 20:45 | 阅读:18548 | 评论:0 | 标签:Web安全 防御策略

瞄准Chrome凭据的新威胁已现身

CyberArk最近捕获了一个有趣的恶意软件样本。它与常规的盗窃凭证恶意软件,如Pony或Loki的不同之处在于,它只针对最常见的浏览器——谷歌Chrome。该恶意样本没有被混淆,但却能够逃避大多数反病毒软件(AV)的检测,这是由于它所使用的一种不常见的逃避技术。隐藏在资源里——Dropper分析图1.Dropper的VirusTotal评分在我们开始之前,让我们先讨论一下负责程序植入和执行payload来收集凭据的dropper。当我们发现这个恶意软件时,VirusTotal (VT)的得分只有11/71(图1),现在它的得分是33/71,仍然较低。事实上,这个dropper真的很基础。它首先在当前路径中创建一个 t
发布时间:2019-08-30 13:10 | 阅读:19983 | 评论:0 | 标签:Web安全 Chrome

ARM架构上用来替代JTAG的调试协议SWD

对于嵌入式开发人员和专门攻击硬件的黑客来说,JTAG 实际上是调试和访问微处理器寄存器的标准。该协议已使用多年,至今仍在使用,JTAG调试接口必须使用VCC、GND电源信号,以及TMS、TCK、TDI、TDO四根调试信号,另外TRST、RESET复位信号和RTCK(同步时钟)信号也在可选项里。现在,设备变得越来越小,微处理器的可用引脚数也越来越少,这些复杂的信号,已经阻碍了协议的正常使用。为了解决这个问题,ARM创建了一个名为SWD(串行线调试)的替代调试接口。相对于JTAG接口,SWD使用了更少的信号。它只使用两个信号(SWDCLK和SWDIO),这个接口及其相关协议现在几乎可以在所有的Cortex-[A,R,M]处
发布时间:2019-08-29 13:10 | 阅读:25106 | 评论:0 | 标签:Web安全 ARM JTAG SWD

钓鱼攻击姿势老套,不明真相还是上当

近日,深信服安全团队捕获到一起高度个性化的钓鱼攻击事件,攻击者针对用户企业伪造了多份带有专业内容的攻击文档,通过邮件发送到目标邮箱,企图诱导用户打开附件中的文档。经安全专家分析,该文档其实为带有漏洞利用的恶意文件,其利用了一个较老的Office漏洞CVE-2012-0158,该漏洞常被用于APT攻击,通常以RTF文件或MIME文件为载体,影响的众多Office版本。文档分析打开该文档,内容上没有任何破绽,带有用户企业的页眉图标,内容也十分专业:不过,表面的伪装蒙混不过研究人员的眼睛,通过监控行为发现winword.exe运行后创建了一个PE文件rundll32.exe:进程: c:program filesmicros
发布时间:2019-08-27 13:10 | 阅读:22588 | 评论:0 | 标签:Web安全 钓鱼攻击

针对Linux桌面用户的罕见间谍软件EvilGnome

介绍近期,Intezer Labs的研究人员发现一种新的Linux恶意软件EvilGnome,该恶意软件会伪装成Gnome拓展,但其实际上为Linux后门植入程序。EvilGnome主要针对Linux桌面用户,这点很罕见,毕竟Linux服务器占总Linux使用组成的70%,而桌面作业系统仅只有2%。过去在Linux上发现的加密矿工或是DDoS僵尸网络等恶意工具,通常都是瞄准服务器进行攻击的。另外有证据表明该恶意软件可能跟俄罗斯APT组织Gamaredon有关。目前,所有主要的安全解决方案都没有检测到此恶意软件。图1:VirusTotal对EvilGnome样本的检测我们传到VirusTotal的样本可能是一个测试版本,
发布时间:2019-08-26 13:10 | 阅读:27056 | 评论:0 | 标签:Web安全 EvilGnome 间谍软件

实测一款IoT路由的安全性如何?从web到硬件,我们进行了全面的漏洞挖掘和分析(下)

上一篇文章,我们讲了IoT路由的设备在理论上的安全性和可能的安全漏洞,本文,我们就来实测一下。NAND闪存转储在经历了最初的挫折之后,我们把NAND闪存的焊接都给拆了,并把它和DATAMAN读卡器相连。几分钟后,我们成功地进行了一次Flash转储。为了正确起见,我们转储了两次,结果都是相同的。现在我们已经成功进行了NAND转储,这意味着我们可以开始提取固件并开始分析文件的结构了。首先,我们下载了转储工具,它非常棒,是任何NAND转储的首选工具。我们在网上搜索了一些关于NAND 闪存芯片组MT29F1G08ABADA的信息。尽管该芯片的说明书上写的是1G的存储空间,但实际上,读卡器的NAND转储量为138.4 MB。然后
发布时间:2019-08-25 13:10 | 阅读:26218 | 评论:0 | 标签:Web安全 IOT 漏洞挖掘 漏洞

2019网络与信息安全领域专项赛Web Writeup

前言前段时间坐了5个小时的高铁,在车上顺便打了个比赛,以下是web题解。Game拿到题发现是个老虎机= =,本能的查看JS:http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/js/cqg.js发现:随机直接给score.php发包:import requestsurl = 'http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/score.php'data 
发布时间:2019-08-22 13:10 | 阅读:33995 | 评论:0 | 标签:Web安全 CTF web

.NET 性能优化的技巧

最大化内联内联是将方法体(method body)复制到调用站点的技术,这样我们就可以避免跳转、参数传递和寄存器保存/恢复等繁琐过程。除了节省这些之外,内联还是实现其他优化的必要条件。 不不过Roslyn(C#的编译器)没有内联代码,它是通过JIT实现的,大多数优化也是如此。使用静态投掷助手(static throw helper)最近的变化涉及一个重要的重构,在序列化基准的调用持续时间上增加了大约20ns,从~130ns增加到了~150ns。罪魁祸首是这个助手方法中添加的throw语句:public static Writer<TBufferWriter> CreateWri
发布时间:2019-08-20 13:10 | 阅读:22790 | 评论:0 | 标签:Web安全 .NET

师出同门,勒索不休:GandCrab退役后SODINOKIBI登场

2019年4月,Cybereason Nocturnus团队遇到了一种名为Sodinokibi(又名Sodin、REvil)的新型勒索软件。Sobinokibi具有很强的隐蔽性,采取了多种措施来防止检测。Sodinokibi的作者疑似与另一勒索软件的作者——GandCrab有关。GandCrab是一款于近退役的勒索软件,因为其幕后团队称自己“已赚到了足够多的钱”。在过去的勒索软件事件中,全球有近40%的感染是由GandCrab造成的。如果这种关联是准确的,那么Sodinokibi可能有朝GandCrab为目标发展的潜质。勒索软件对许多组织机构来说仍然是一个巨大的商业隐患,像Sodinokibi和GandCrab这样的高
发布时间:2019-08-17 13:10 | 阅读:35126 | 评论:0 | 标签:Web安全 Sodinokibi 勒索软件

Anomali团队捕获了一个针对中国政府部门的网站钓鱼攻击行动

Anomali威胁研究小组最近发现了一个网络钓鱼网站冒充中华人民共和国外交部电子邮件服务的登录页面。如果访问者尝试登录这个钓鱼页面,网站就会向他们弹出一条验证消息,要求用户关闭窗口并继续浏览。研究人员通过对攻击者的基础设施进行进一步分析后发现,其幕后攻击者还针对中国的其他政府网站和国有企业网站进行了大范围的钓鱼活动。在调查中发现的一个域名被中国安全供应商“CERT 360”认定为2019年5月“APT恶意攻击”的一部分。目前Anomali已经确认,幕后的策划者还会进一步对中国的政府网站发起进一步攻击。基于Let’s Encrypt证书发布日期,研究人员认为该活动开始于2019年5月。研究人员预计,BITTER APT将
发布时间:2019-08-15 13:05 | 阅读:50759 | 评论:0 | 标签:Web安全 Anomali 网站钓鱼攻击

Amavaldo:针对拉丁美洲的银行木马

2017年底,ESET安全研究人员注意到,Delphi编写的银行木马常以巴西、墨西哥和智利等拉丁美洲国家为攻击目标。在对恶意软件进行后续跟踪并将其分类后,ESET确定了10多个新的恶意软件家族,还研究了其分布链和内部的关联性。在这篇文章的开头,我们将讨论此类银行木马的起源,然后介绍一种新识别的恶意软件家族——Amavaldo。拉丁美洲银行木马的特殊之处在哪?在进一步讨论之前,让我们先来划分这种银行木马的特征:· 用Delphi编程语言编写· 包含后门功能· 较长的传播链· 可以将其功能划分为多个组件· 通常会滥用合法的工具和软件· 针对西班牙语或葡萄牙语国家在
发布时间:2019-08-14 13:05 | 阅读:27334 | 评论:0 | 标签:Web安全 Amavaldo 银行木马

有没有想过一个问题,适用于移动设备的取证方法能否照搬到台式计算机上?

关于移动取证,我们已经讲了很多了,且最新的进展是专家们正在分析智能手机本身是否可以访问云数据。然而,将搜索扩展到用户的台式机和笔记本电脑可能也有助于访问存储在物理智能手机和云中的数据。在这篇文章中,我们将列出所有能够为智能手机数据提供信息的相关取证方法,并且这些方法适用于苹果iOS设备以及运行Android的智能手机。台式机和笔记本电脑上的相关取证方法由于其容量巨大,计算机可能存储了比智能手机更多的证据。然而,与我们期望从现代智能手机中获得的带有时间戳和地理标记的使用数据相比,台式计算机中的数据将是一种不同与智能手机的证据。用户的PC或Mac如何帮助移动取证专家?有几种类型的证据可以帮助我们从手机或云端检索数据。1.
发布时间:2019-08-14 13:05 | 阅读:103587 | 评论:0 | 标签:Web安全 移动设备取证 移动

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云