|
|
|
[原创]关于对正在推动的安全防护理念通俗解释
我看了楼主第一版的工具贴:https://bbs.pediy.com/thread-268352.htm。 工具主要功能流量协议的代理-转发和基于特征匹配的查杀。 以前为了应急写过很多专杀工具,后来也写过类似的流量代理,最后发现最大问题没有恶意数据源对比,也就是现在业内所谓的威胁情报IP。
最后于 2021-7-26 08:18
被一半人生编辑
,原因:
|
|
|
|
Windows驱动编程之NetFilter SDK
本地代理也是一个重要模块,这里不做具体的带过,他是为了解决WFP设计缺陷所产生的,命中的规则IP重定向本地代理。 本地代理获取真实的IP创建连接,数据做双向通道(Socket5代理),为什么会这样做? 打个比方,WFP在完成重定向之后(回调结束),立刻想要发送一个Send数据给重定向节点,WFP设计问题回调不结束导致connect没办法完成,回调结束的你无法捕获,导致没办法像Hook那样,本地代理就是为了解决这类问题,Nfsdk团队明确了这一点: Yes, the connections are redirected to a local proxy. Then the local proxy establishes a connection with remote server. It allows to avoid the issues on WFP layer with injecting proxy handshake packets immediately after establishing a connection with remote server. The local proxy uses generic sockets, so it allows to send and receive packets without limitations. -- Best regards, Vitaly mailto:support@netfiltersdk.com
最后于 2021-7-20 08:17
被一半人生编辑
,原因:
|
|
|
|
[推荐] 微软正式推出Windows11了!你正在用哪个版本?
hyper有多强大,Win就能有多弹性 |
|
|
|
[求助] 请教kvm虚拟机, 在guest用户态读写msr寄存器时, 为什么没有触发vm exit?
VMCS如果设置了Msr域相关的处理,Guest内核态Msr操作会触发vmexit。 Guest r3陷入由Guest r0处理, Guest r0陷入由VMM处理
最后于 2021-6-3 15:48
被一半人生编辑
,原因:
|
|
windows驱动源码推荐
做沙箱和EDR或者HIDS安全产品,Windows驱动方向这几个都比较符合。 |
|
|
|
可以在网上拜个师傅吗?
楼主有这个兴趣不妨从英特尔手册读起 |
|
|
|
[原创]shellcode免杀框架内附SysWhispers2_x86直接系统调用
不错的,免杀第一阶段静态+回连已经够了,这个和免杀壳效果大体一样。 过动态执行需要对cs(木马)操作,如创建文件几乎杀软都会拦截,有效的r3代码-shellcode可以绕过监控/回调及对象拦截比较困难,但也是很有价值的。
最后于 2021-1-29 19:47
被一半人生编辑
,原因:
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值