系统安全

本文主要分为四个部分,首先说明如何在单机环境下搭建内核调试窗口,其次会讲解cve-2013-1763从32位移植到64位,再讲解让exp可以绕过缓解机制,最后由对内核调试上篇做一个总结。
2019年04月10日,360CERT监测到微软于4月9日发布了4月份的安全更新。此次安全更新涵盖 Windows 本体以及多个 Windows 的核心组件(Windows,win32k,LUAFV,CSRSS,MSXML,VSScript)的代码执行/权限提升漏洞。
之前的时候偶然在某网站拿到一款很简单的病毒程序,虽然分析的难度不高,但是它巧妙的利用了Windows的消息机制实现了恶意功能,正好可以用它做个例子来学习一下Windows的消息机制。
在上篇文章中我们讨论了如何通过RPCView寻找输入参数为字符串的RPC API。然而使用RPCView时有一些限制条件,之前我们无法识别这个服务,现在我们可以使用另一种方法来识别该服务。
windows调试艺术主要是记录我自己学习的windows知识,并希望尽可能将这些东西在某些实际方面体现出来。
Win10及2012系统以后的明文抓取方式研究小结。
我们在分析Microsoft Defender Advanced Threat Protection内核传感器模块生成的警告时就找到了这样一个驱动。经过跟踪定位,我们发现这种异常行为存在于Huawei研发的某个设备管理驱动中。经过深入挖掘,我们发现该设备存在一个本地提权漏洞。
在2018年11月,360观星实验室接到某客户Linux服务器挖矿,发现这是一起通过consul服务的RCE漏洞进行传播和植入的挖矿恶意木马。
本文介绍了James和MSRC团队之间的合作,双方在windows内核及其驱动程序中发现了新的漏洞类,并进一步阐述了微软的工程师团队是如何修复这些漏洞,以及第三方驱动开发者如何避免类似漏洞。
关于复用socket/链接这类shellcode,我想与大家分享另一种技术,这种技术在针对Windows系统的某些远程利用场景中非常有用。