二进制安全C/C++汇编一线开发 [2025]VMP源码学习——虚拟化 来自洪哥的投稿 [VMP源码学习——虚拟化 (1).docx](https://key08.com/usr/uploads/2025/11/4200086118.docx) 阅读全文 2025-11-16 huoji 0 条评论
APT研究系统安全二进制安全 [2025](开源)分析加密流量快速检查手机是否中了APT远控 ## 前言 最近 国家授时中心被 美国用三角测量行动同样的手法攻击了iphone https://mp.weixin.qq.com/s/XPjT0BVOJPJxSmASW0tXTA 我就在想,我们如何在不用到mvt(Mobile Verification Toolkit)的情况下怎么快速的分析一个设备是否中了0day/apt的远控木马,毕竟开ADB或者iTunes备份都挺麻烦的. 首先我想到的是流量设备,因为他非常简单,手机接入网络这个操作谁都会,连个wifi就行 而且卡巴斯基发现三角测量行动也是的流量设备先分析到的. 更早的飞马 也是流量设备捕获到的. 不过我家里也没IDS/NDR设备,也没软路由,搞个流量设备不现实,所以就有了今天主题.手搓一个简单的. 阅读全文 2025-10-20 huoji 0 条评论
游戏安全 [2025]中外AI大战!让AI们通过MCP玩帝国时代2 ## 前言 说来话长, 熟悉我的人都知道,我每年国庆都会在家整点活,去年是 [2024]深度研究APT攻击组织Storm-0978的高级注入技术"Step Bear" https://key08.com/index.php/2024/10/27/2253.html 今年是AI通过MCP玩帝国时代2! 本系列非常非常非常复杂,原因是我一开始只是想做个能自动帮我玩帝国时代2的脚本,但是做着做着我突然觉得没意思,就改变想法搞个让大语言模型玩游戏的MCP。事实证明已经严重超出我得工作量了,不过经过快一个星期的逆向,分析,模型调用调优。我终于取得了进展。这一切都是值得的! 我们先说偏娱乐的部分,中外AI大战! 阅读全文 2025-10-04 huoji 0 条评论
APT研究二进制安全C/C++一线开发 [2025]"ucpd.sys后门事件"详细分析技术报告-他是后门.....吗? ### 前言 老实说,我非常不喜欢蹭热点,因为我认为人生不能把时间浪费在无意义的争论上.但是最近一篇文章引起了我的兴趣:  因为整个微信公众号,整个新闻页面,都是这玩意了,不小心点了之后,感谢大数据,我的各种社交媒体首页,也全是这玩意推荐:  这些新闻无一例外都只是在散发焦虑 并且没有一丝技术分析 事实真的如此吗? 如果是,这会给我们什么启示? 如果不是,微软最有可能装后门的地方在哪? 让我们从技术角度详细分析.而不是被新闻焦虑冲跨 阅读全文 2025-09-18 huoji 0 条评论
APT研究二进制安全C/C++汇编一线开发 [2025]阻止漏洞驱动利用(byovd)技术致盲安全软件 ## 前言 byovd,在2014年左右这些在业内还是被叫做"vulnerable driver" 也不是什么神秘的东西,我知道的到现在也就几十年了吧**(实际可能更早,比如NSA的那个远控XP时代就用了)** 这些驱动有几个类型,**但是无非就是跟R3交互接口没验证签名导致函数被滥用。** ## 内核驱动调用ZwTerminateProcess 现在信息安全领域见得多的还是这种内核发terminalprocess的东西,毕竟没游戏安全对抗那么激烈。大部分情况下关闭就行不做其他的操作  就比如银狐木马用的:  这种情况跟上面说的一样,内核IO管理权限校验没做好,让人可以对任意进程发ZwTerminateProcess. 阅读全文 2025-09-15 huoji 1 条评论
APT研究工具软件二进制安全C/C++一线开发 [2025]深入研究R3通过网络(WFP架构)致盲EDR的技术原理与解决方案 ## 前言 从2025年的安全对抗环境的越来越猖獗的银狐事件来看,我们进入了国内安全行业泡沫被戳破后的回归期:  国内正在回归到最原始的技术论成败的阶段,而不是PPT美观论成败阶段. 这一点,可以从这几年 银狐/RAT/红队 的一些手法论证: **各种威胁组织正在大量用漏洞/设计缺陷致盲EDR/AV**,就比如今天所说的通过WFP致盲的问题 阅读全文 2025-08-31 huoji 0 条评论
APT研究工具软件二进制安全C/C++汇编一线开发 [2025]从0制作IDA的F5代码还原功能(hex-rays插件) 上 # 前言 说来惭愧,鸭哥的业余时间娱乐活动一般除了 dota 外,就还剩下写代码,尤其是一些"高难度"的代码,我喜欢业余的时候打磨一下.每年给自己定个目标,比如去年是 VMP 还原的代码 [2025]VMP3.x 原理详解与还原思路 https://key08.com/index.php/2025/04/20/2467.html 你是否想过IDA的F5/bn的 伪C代码怎么来的,即便是有开源的NSA的Ghidra/avast的retdec也看不懂代码? 因为这些都是复杂的成品工程项目,而核心代码相比各种乱七八糟的UI调用其实少得可怜 所以让我们实际操作一下,手写一个类似于IDA的F5的功能,一起学习一下这块的工作原理 这块做的过程中觉得很难,但是实际上,特别简单,没什么难度,我们依次介绍原理,详解,并且逐步实现一个看起来能用的东西 > 免责声明: 我不是专业搞编译器的,整个过程的路线是能跑就行,要是有高手发现我写的有问题,评论区跟我说一下,我们一起探讨一下 先放几个成品图:   最开始的想法是为了做 NGAV:  2024 年终: 木马病毒自动化特征提取&云端机器学习的思路分享 https://key08.com/index.php/2024/12/28/2310.html 不过后来由于今年业务相关的东西太忙,在公司一直没时间写,只能周末空闲的时候当娱乐活动随便写写研究了. > 警告,本文1万字,并且没有一点AI的参与,看不懂是正常的,我建议丢给GPT做阅读.我自己写完后看也头疼.不硬着头皮从0开始一步一步看是看不懂的.由于公众号的格式太难受了,想要pdf的朋友,后台回复"IDA制作",可以拿到原始的PDF 阅读全文 2025-08-12 huoji 2 条评论
