系统安全二进制安全C/C++汇编Shellcode [2026]现代windows内存攻防简介(2026年) ## 简介 又过一年了兄弟们,是时候更新冲鸭安全和key08了。主要是1月太忙了,一直忙着新产品,一直没空更新公众号和博客,乘着现在有空赶紧更新一波。 阅读全文 2026-01-13 huoji 0 条评论
APT研究二进制安全C/C++汇编Shellcode一线开发 [2025]SleepDuck-通用堆栈欺骗检测POC,检测SleepMask ## 前言 自从DuckMemoryScan/BeaconEye等通过遍历堆栈寻找beacon的项目出现之后,黑客越来越注重所谓的堆栈混淆,之后诞生了"SleepMask"类技术,表现为,工作时候长这样堆栈  一旦工作完成,睡眠后通过伪造调用栈的技术,如ROP,VEH等,伪装调用栈,让其长这样  一旦改变堆栈后,大部分堆栈扫描的项目就失效了,即便是有少部分号称能检测的项目,检测的也**只是特定项目的通用规则** 换句话说,黑客只需要改一下代码,就能轻松绕过 阅读全文 2025-07-13 huoji 0 条评论
APT研究二进制安全C/C++汇编Shellcode一线开发 [2025] Introduction to IDA's Internal Principles (Part 4): function parameter number calc ## 简介 没看过的请看之前的第三篇。 本篇是第四篇,讲述怎么计算函数参数 ## 函数参数识别 我们必须要知道一个事实是, 在没PDB之前,是没有一个准确的函数识别办法的,现如今所有的办法都是启发式的办法,**这也是为什么逆向工具在遇到混淆的时候会拉闸**。我们这边不介绍复杂的启发算法,只说一个简单的: **堆栈遍历+模式匹配** (只说X64的) 阅读全文 2025-05-18 huoji 0 条评论
系统安全二进制安全C/C++一线开发Shellcode [2025]VMP3.x原理详解与还原思路 ### 前言 这几天在逐步把github的项目移动到gitlab里面,无意间发现了三年前写的VMP还原的项目。发现那会的思路 笔记什么的都忘记的差不多了,所以趁着现在还记得起来。赶紧写一下记录着。 # VMP内部 让我们先了解一下VMP的具体执行流程.  实际看一下,一旦设置虚拟化后,VM的程序会从text段跳转到vmp0 stub段.然后每一段会进入vmentry:  这个是stub段:  阅读全文 2025-04-20 huoji 0 条评论
二进制安全C/C++汇编Shellcode一线开发 [2025] Introduction to IDA's Internal Principles (Part 1): Overview & Function Recognition 中文标题: IDA背后的原理入门(一): 简介&函数识别 # 简介 在《2024年终: 木马病毒自动化特征提取&云端机器学习的思路分享》 中我提到过 > 具体细节在明年2025年我会开一整个系列介绍实现,原理与思路,其实这种操作效果就是手写了一套IDA,但是比IDA更小,更可控。让我们回到正题,继续介绍模式匹配的具体用法 现在,2025年,让我们开始系统从头设计一个"IDA",从基本原理入手,逐步变成可"一键F5"的工具。 免责声明: 我不是专业搞编译器的,整个过程的路线是能跑就行,要是有高手发现我写的有问题,评论区跟我说一下,我们一起探讨一下 阅读全文 2025-01-24 huoji 0 条评论
APT研究系统安全C/C++汇编一线开发Shellcode 2024年终: 木马病毒自动化特征提取&云端机器学习的思路分享 年末了,粉丝以117票决定了这篇主题!  这是2024年最后一篇文章。又过了一年,祝大家身体健康,万事如意。今年这篇文章只是抛砖引玉,明年将会非常详细的开几篇系列介绍文章中描述的技术(如机器学习,模式匹配,lifer,llil),因为一篇文章实在是放不下。敬请关注冲鸭安全 & key08 ## 前言 现如今的安全软件,无论是所谓的EDR还是所谓的NGAV,对病毒样本的判断还是非常有限,有限到可能你不相信-云端hash索引(包括所谓的局部敏感hash)与人工录入特征。 而所谓的机器学习,NGAV,在实战中往往表现的非常不尽人意。举个例子,用golang,rust等等 编译的程序会让局部敏感hash无效。用白夹黑 [[2024]通杀检测基于白文件patch黑代码的免杀技术的后门](https://key08.com/index.php/2024/08/03/1949.html "[2024]通杀检测基于白文件patch黑代码的免杀技术的后门") 则完全的让浅层机器学习(native-ml,大部分厂商所谓的NGAV)变得清澈愚蠢 > 2020年这种木马首次被key08公开的时候我就写了一句,杀毒软件的所谓的机器学习/深度学习模型,完全失去作用了,杀毒软件从18年开始疯狂流行的NGAV概念也已经到头了,原因很简单,这种东西,AI完全无法识别,除了数据特征问题,还有非常多的问题,这需要了解杀毒软件工作原理。 阅读全文 2024-12-28 huoji 0 条评论
APT研究二进制安全C/C++Shellcode [2024]从驱动直接读写物理内存漏洞 到 内存加载驱动分析 前几天UC论坛爆了一个漏洞驱动利用,由于已经公开所以就不打码了,只不过利用方法比较有意思,这里记录一下 这个漏洞驱动是由xxxx.sys触发的,他的信息如下: ```cpp 签名:xxxxx. 序列号:xxxxxxxx ```  看了一眼,经典的IOHANDLE的问题,14年的时候handlemaster和19年我写的gpu mapper都是这个。  但有一个问题, 如果要做内存加载驱动,通常情况需要做PML4的翻译(也是就CR3), windows 1803后, MmMapIoSpace等一系列API被禁止读写PML4,所以你也没办法翻译PML4.但是这个人的利用方法比较独特. 阅读全文 2024-08-18 huoji 0 条评论
