翻译：https://www.trendmicro.com/en_us/research/24/f/noodle-rat-reviewing-the-new-backdoor-used-by-chinese-speaking-g.html 介绍 自2022年起，我们一直在追踪亚太地区发生的多起针对性攻击事件，这些攻击都利用了同一种ELF后门技术。多数安全厂商将此后门误判为Gh0st RAT或Rek

朝闻道 发表于 湖北 · 894浏览 · 2024-06-12 08:45

翻译：https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/ 介绍 PDF（便携式文档格式）文件已经成为现代数字通信中不可或缺的一部分。凭借其广泛的兼容性和准确性，PDF提供了一个强大的平台，用于在不同的计算环境中共享文档。PDF已经成为一种标准格式，无论使用何种软件、硬件或操作系统来查看它们，他们都以一

朝闻道 发表于 湖北 · 1160浏览 · 2024-06-05 07:10

原文翻译：https://www.elastic.co/security-labs/protecting-your-devices-from-information-theft-keylogger-protection 使用Windows API行为检测键盘记录程序 在本文中，我们将介绍今年添加到Elastic Defend(从8.12版本开始)的键盘记录器和键盘记录检测功能，它负责Elasti

七*r 发表于 河北 · 2148浏览 · 2024-06-12 08:32

格式化字符串漏洞利用之内存泄露与覆盖 简介 在格式化字符串漏洞中，攻击者通过向格式化字符串函数提供恶意构造的格式化字符串，利用了函数内部的漏洞，可能导致未授权的内存读取、内存泄漏、远程代码执行等安全问题。 漏洞的原因在于格式化字符串函数的参数中包含了类似于%s、%d等格式化占位符，用于指定要输出的变量类型和格式。然而，当攻击者能够控制格式化字符串的输入时，他们可以使用特殊的格式化占位符来读取或修改

1814150940578934 发表于 北京 · 703浏览 · 2024-05-30 13:59

House Of Spirit house of spirit漏洞的主要利用方法还是fast bin机制的缺陷，house of spirit在于伪造chunnk并使其放入fast bin 接着申请出伪造的chunk 从而劫持chunk到指定地方，实现getshell 伪造条件 fake chunk 的 ISMMAP 位不能为 1，因为 free 时，如果是 mmap 的 chunk，会单独处理

YOLO 发表于 山东 · 632浏览 · 2024-05-30 00:33

通过前两篇文章的学习以及手动操作，读者应该对PE32可执行文件的基本格式有了一个较为熟悉的认识。那么再加上一点点汇编代码的基础知识，就可以来触摸一下软件保护领域的门槛——给PE32程序加一个简单的壳。 PE格式规范非常复杂和庞大，完整的规范不会比什么《JAVA从入门到精通》这样的书薄。且原始的文档定义偏技术手册，用来入门学习可读性较差。 实际上基于PE格式的安全应用，原理上用到的知识点其实不多。

1256710576241886 发表于 江苏 · 937浏览 · 2024-05-29 14:26

ETW概念 ETW全称为Event Tracing for Windows即Windows事件跟踪器,ETW最初期是在Windows 2000中引入,最初是提供详细的用户和内核日志记录这些日志记录可以动态启用或者禁用,无需重启目标进程，由于采用内核层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案. ETW内部结构概述 ETW的两个主要组成部分是ETW Provider和

本*v 发表于 湖南 · 1340浏览 · 2024-05-28 09:44

前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。（本文仅用于交流学习），本文仅作技术研究。 本文涉及到的案例可在附件获取。 导读 本文章主要分享，在学习逆向工程中，所遇到的常见注册类型。 注册类型 硬编码 "硬编码注册"是指在软件的源代码中直接嵌入注册密钥或许可证信息。 信息收集 运行程序，输入Serial，点击Check，

Aking9 发表于 河南 · 593浏览 · 2024-05-27 13:57

house of orange 首先 house of orange 是当程序没有free函数的时候，我们可以通过一些方法，来让chunk被填入unsortbin中，成为一块被free的chunk，然后通过对_IO_FILE_plus.vtable的攻击，达到getshell的目的。 而通常不单单只是利用house of orange手法，还要搭配着FSOP攻击 ‍glibc版本 glibc

YOLO 发表于 山东 · 509浏览 · 2024-05-27 13:07

翻译：https://blog-en.itochuci.co.jp/entry/2024/05/23/090000 引言 本文探讨了我们观察到的一次攻击活动中名为“BloodAlchemy”的恶意软件分析。 2023年10月，Elastic Security Lab将BloodAlchemy命名为一种新型RAT（远程访问木马）[1]。然而，我们的调查揭示出，BloodAlchemy并非完全新型的恶

朝闻道 发表于 湖北 · 785浏览 · 2024-05-30 10:30

BFS Ekoparty 2022 Kernel exploitation challenge 题目描述 它题目主要说了几个点，一个是利用脚本python编写的话不能用external libraries，然后最终完成的效果是在目标上运行calc.exe。运行的环境是在win10或者win11上都行 程序分析 它的样本程序其实并不是很大，先跑起来看看效果如何 从提示的字符串来说其实蛮明显的就

任意门 发表于 上海 · 451浏览 · 2024-05-26 17:08

引言 本文旨在深入探讨了 ret2libc 攻击技术，这是一种在存在栈溢出漏洞的程序中利用动态链接库（如 libc）中的函数来执行任意代码的方法。 ret2libc 基础 漏洞利用概述 在没有直接调用 system("/bin/sh") 的情况下，通过覆盖返回地址来利用动态链接库中的 system() 函数。 实现步骤 发现动态链接库：寻找包含 system() 函数的动态链接库。 寻找字符串

Sanbora 发表于 湖南 · 2002浏览 · 2024-05-26 07:33

前言 在编程中，文件操作是一个非常常见的任务，但同时也是一个容易忽视的安全隐患。如果在使用open()函数打开文件后忘记使用close()函数关闭文件，就可能引发严重的信息泄露问题。在Unix和Linux系统中，文件描述符是一个关键的概念，几乎所有的操作都涉及文件描述符的使用。当一个文件被打开后，系统会为其分配一个文件描述符，程序可以通过这个描述符对文件进行读写操作。然而，如果在程序执行完相关操作

Ba1_Ma0 发表于 四川 · 969浏览 · 2024-05-23 12:21

一、垃圾代码（JunkCode） 对于垃圾代码和花指令的区分，我们一般将没有实际意义的代码称作垃圾代码（Junk Code/Garbage code），而把干扰调试器分析的代码称作花指令。 典型的JunkCode一般是一些操作指令具有相同的操作数，执行一些毫无作用的运算，比如： mov eax,eax; xchg esp,esp; jmp rva=0;//E9 00 00 00 00 xor ea

ZhaoWu 发表于 江苏 · 2543浏览 · 2024-05-23 12:06

前言 刚好在晚上刷视频的时候看到了老师的一个分析视频，于是想着来复现一波学习，也学到了很多东西，非常感谢老师。 首先，本次的分析对象是wechat.dll也就是动态链接库。 可以看到ida打开来有很多的函数。 那么首先的任务就是要找到与撤回相关的函数，那么这么多函数我们要怎么去找呢？可以想到，我们撤回消息的话肯定和字符串有关系的。 所以我们这里shift+12 可以看到String就被集合到一

寒影和寒风萧 发表于 广东 · 1255浏览 · 2024-05-22 15:03