二进制安全C/C++一线开发 [2025]Windows的内存防护机制 来自戎码高级安全研究员kanren3的投稿: # 背景 在 Windows XP 时代以后,微软意识到了系统安全的重要性,因此逐步加强 Windows 自身的安全机制,从早期的 **PatchGuard**,到如今的 **Virtualization-based Security (VBS)**,让漏洞利用变得越来越困难。这篇文章将简单介绍一些 Windows 基于硬件的内存安全防护机制以及它们会带来的影响。 阅读全文 2025-06-23 huoji 0 条评论
二进制安全 [2024]windows快捷方式深度研究与RCE漏洞挖掘.pdf windows快捷方式深度研究与RCE漏洞挖掘.pdf [From LNK to RCE Finding bugs in Windows Shell Link Parser.pdf](https://key08.com/usr/uploads/2024/09/2411603818.pdf) 阅读全文 2024-09-12 huoji 0 条评论
系统安全二进制安全 [2022] 微软的代码虚拟机"战斗之鸟"(warbird)深度研究与逆向 #2 ### warbird vm block 在上一章中: https://key08.com/index.php/2024/09/11/2045.html 我们介绍了如何动态执行wb的vmhandle.但是离解开真正的密码相差甚远. 因此这一章我们开始着手分析vmblock 阅读全文 2024-09-12 huoji 0 条评论
系统安全二进制安全 [2022] 微软的代码虚拟机"战斗之鸟"(warbird)深度研究与逆向 #1 ### 前言 最近被某些人的自信而且浑然不知自己错得离谱的态度气的实在是头晕,所以发点东西对冲一下,要不然被愚蠢的言论搞坏了头脑不好,真应了一句话,最怕半吊子技术的人,跟你扯还扯得头头是道,把自己都扯信了。 **这篇文章是我找了2022年的时候看到 [warbirdvm](https://github.com/airbus-seclab/warbirdvm "warbirdvm") 时候开始研究资料写的,那会可能技术不咋地,有诸多的问题。如果有错误,请原谅并且评论区发起讨论。** ### 介绍 ci.dll是 Windows 安全性的基石,在其启动过程的早期就参与其中。这个模块有一个很少有人研究的存在-战斗之鸟的虚拟化模块.是的,微软在自己的内核里面实现了一套类VM虚拟机。 阅读全文 2024-09-11 huoji 0 条评论
APT研究二进制安全C/C++Shellcode [2024]从驱动直接读写物理内存漏洞 到 内存加载驱动分析 前几天UC论坛爆了一个漏洞驱动利用,由于已经公开所以就不打码了,只不过利用方法比较有意思,这里记录一下 这个漏洞驱动是由xxxx.sys触发的,他的信息如下: ```cpp 签名:xxxxx. 序列号:xxxxxxxx ```  看了一眼,经典的IOHANDLE的问题,14年的时候handlemaster和19年我写的gpu mapper都是这个。  但有一个问题, 如果要做内存加载驱动,通常情况需要做PML4的翻译(也是就CR3), windows 1803后, MmMapIoSpace等一系列API被禁止读写PML4,所以你也没办法翻译PML4.但是这个人的利用方法比较独特. 阅读全文 2024-08-18 huoji 0 条评论
系统安全 [2024]漫步SubProcessTag ### I_QueryTagInformation I_QueryTagInformation是一个windows的sechost.dll的一个API,网上小黑非常喜欢拿去杀所谓的ETW, 如这个代码: 阅读全文 2024-08-06 huoji 0 条评论
系统安全C/C++一线开发 [2023]阻止window hook exploit meme 对于安全软件 自己的窗口往往成为最容易被攻击的目标.如window hook exploit这种windows癌症设计引起的问题,理论上,**应该所有的窗口程序都应该这样做从而缓解自己不被攻击** 解决的方法很简单: 1. 给自己设置CFG保护(必选) 2. 使用VEH监控stack overflow事件(可选) 3. hook kedispatchtable,监控win32k的callback function(某些反作弊是这样做的) 4. hook dispatchuserapcroutine,监控来自其他进程的apc,因为最终所谓的peekmeesage都是插入APC(某些反作弊是这样做的) 阅读全文 2023-12-30 huoji 1 条评论
