通过字符常量池可以看到这部分文本 资源ID:7f100049 属性:0_resource_name_obfuscated当 r3 == -3 或 r3 == -5 时,会将 r3 赋值为 2131755081(即 7f100049)通过 frida 得...
阅读全文...
Hunter检测分析 之 (Find Root Mark in Mountinfo)
今天是25.10.25 原本以为这部分和牛头的 ((20251021141120-ttydmdq 'Inconsistent Mount')) 问题一致,目前ebpf用户态还没学 所以read write还没有替换掉,可以正常获取到原本的mount把mo...
阅读全文...
阅读全文...
Hunter检测分析 之 (Permission 权限检测问题)
大部分的permission开启enforing后可以解决call ipc find pty permissionchmod 666 /dev/ptmx
chown root:root /dev/ptmxnetlink find permission# ...
阅读全文...
阅读全文...
Hunter检测分析 之 (OverlayFS System)
hunter的这个overlay system检测不是必要的,一开始推测检测原理就是在native 拿 statfs和fstatfs函数查看/system返回的f_type10进制的2035054128对应的16进制是 0x794C7630 也就是ove...
阅读全文...
阅读全文...
Hunter检测分析 之 (Mount 分区挂载)
问题如下,云机内部存在docker overlay分区挂载Hunter 读取挂载点位置:/proc/mounts /proc/self/mountinfo
阅读全文...
阅读全文...
