|
[原创]Windows主机入侵检测与防御内核技术深入解析(10)
支持,善用do_while break的方式编码,近代编译器goto已经做了优化,复杂的goto编译器没办法更好的release,结构化do_while才更优. |
|
[原创]Windows主机入侵检测与防御内核技术深入解析(5)
文件还可以补充CreateFileMapping Minifilter的拦截方式,补充FastIO基础以及IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION相关使用. |
|
[求助] Windows 驱动融合该怎么做?
没这样做过,感觉会很麻烦,带来不必要的irp兼顾问题 |
|
|
|
|
|
[原创]删除杀软回调 bypass EDR 研究
发文不易,先点赞。 上升到驱动级别对抗风险极大,部分Edr创建回调成功后,会保存了一份记录。利用上述同样的方式,启动线程检测是否被删除,不友好的可能直接上报蓝屏了。 基于r3程序策略变种来对抗edr回调也是不错的方式,比如基于Process Herpaderping,Process Reimaging新的变种研究。 |
|
[讨论] 现在windows开发(包括c++)都是基于.net开发,程序运行在虚拟机上,反编译已不是传统的汇编了
传统逆向包含c#逆向,还包括其他语言的传统逆向。 |
|
|
|
|
|
|
|
[原创]#18周年#我想一直看雪
wx_我叫锦锦 楼主是做windows开发的吗?我现在研一,平时除了做学术,会背着老师偷偷的学逆向。我感觉这条路还是蛮崎岖的,毕业的时候不一定能找到相关的工作,也许得先找个开发的工作谋生。可是别的技术又没时间学(实验 ...偷偷背着学逆向,技多不压身,以后工作也许会遇到审计和分析代码,线上程序dup调试,也许都会用到相关技术栈。 |
|
[注意]议题公布!看雪·第七届安全开发者峰会
步履铿锵,逐光向上 |
|
|
|
[求助]ObOpenObjectByPointer后系统蓝屏的问题
考古问题,轩辕小聪大佬的回答是正确的。 ObCreateObj和ExCreateHadnle已经在PsSetCreateThreadNotifyRoutine之前完成,并插入了到了ThreadListHead。理论上可以通过使用PsLookupThreadByThreadId拿到先拿到EThread,在调用ObOpenObjectByPointer拿到句柄。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值