fearhacker的专栏

DPDK 技术，由于 在 网络流量通信方面 绕过了操作系统的内核网络驱动对于网络流量的处理， 可以使网络流量 从网卡设备 直达 操作系统的 R3 用户层 ，这大大减轻了 操作系统的内核网络驱动对于网络流量的处理与转发开销（主要 节省 了 内核空间 向 用户空间 进行内存数据复制操作 的相关 开销！这里指的是，网络流量的作用，是什么！由于 DPDK 的技术实现，是以。裸包反弹，指的是，对于 几乎未经过任何网络协议栈进行处理的，最原始的 网络流量数据包 进行 网络通信响应 和 网络通信转发 的技术能力！

我们需要知道，从零开始，建立 特征指纹仓库 ，成本是很高的！如果并没有找到合适的、开源的、免费的 指纹仓库 的话，那么使用一些比较流行的技术，或者工具 去 进行 特征指纹仓库的 建设，也是一种不错的选择！作为安全运维人员，如果不懂得渗透测试技术，那么在进行安全运维行为时，就往往如同 没见过老鼠的猫，看到老鼠闯入，依然倒头就睡！在 SQL注入类攻击中，为了躲避 WAF 防火墙的 拦截与查杀 ，有经验的黑客，往往会对通信数据进行加密，或者采取代码混淆的方式，来逃避 WAF 防火墙 的 安全检查！

例如，它包含驱动类型、驱动大小、驱动对象、驱动标志、驱动的起始位置、驱动的大小、指向驱动程序映像的内存区对象、驱动的扩展空间、驱动名字等。DRIVER_OBJECT对象还包含了与驱动程序所管理的设备对象相关联的设备扩展结构，以及用于处理I/O请求的函数指针等信息。：这是一个指针，指向驱动程序所创建的设备对象链表的头部。：指向注册表中的硬件信息路径，为驱动程序提供设备特定的配置和参数（ 在Windows内核模式驱动程序中，硬件数据库用于存储有关系统中所有设备实例的信息，如设备的设备路径、设备对象指针等 ）。

Rootkit 技术，涉及到多方面的知识，包括 硬件系统 、 软件系统 、 内核驱动 、Rootkit 技巧（例如，如何绕过安全软件的检测、如何检测到工作于内核层面的 Rootkit 软件）等。，只有了解底层的内核实现，我们才能去 读取 或 更改 页目录表（ PDT ） 、页表（ PTT ）、页（ P ) 的 数据内容（ 比较重要的，包括 访问权限、读写开关、偏移量、物理地址 等）。Rootkit 的 防御技术，主要是指 驻留内核底层，检测 Rootkit 软件的存在，取证 Rootkit 软件的行为！

当 PDE（ 页目录项 ） 的 PS 位（ 第8位 ） 为 1 时，代表PDE（ 页目录项 ）直接指向页（ P ），这时，页的大小为 4MB（这是一个大页），此时，这个大页（ 4MB 大小的物理页）的物理地址计算公式为： PDE（ 页目录项 ） 的 高 10 位 + 线性地址 的 低 22 位。上述的页目录（ PDT ）的子项（PDE）除了前7位之外，其它各比特位用途不固定（各关键比特位的位置，同样不固定），因操作系统类型、CPU 版本不同而存在差异！

相应的，每个进程，都会存在一个页目录表），1024MB = 1 GB；GDT 全局描述符表、LDT 局部描述符表、GDTR 全局描述符表 寄存器、LDTR 局部描述符表 寄存器 、一致性代码、非一致性代码、实模式、保护模式、线性地址。在 Intel 系列的 芯片中，存在专门的电路，负责将虚拟地址（线性地址）转译为内存物理地址！目前这块，笔者本人，也需要更加深入的理解，也许以后，会涉及到对这方面的更详细讲解 ）。想要免杀，需要了解的安全技术知识包括软件加壳、代码混淆（例如，使用花指令）、隐匿技术（例如，

GDT全局描述符表 中存储了多个不同的 LDT 局部描述符表（ LDT 段 ） 所对应的不同内存空间信息（所谓的内存空间信息，指的就是 段基址、段限长、段属性 这些信息）！含有 LDT 段 的 段基址、段限长、段属性 信息 的 段描述符，在 GDT 全局描述符表中，被当成普通的 段描述符 进行使用！不同的进程，不同的数据，存储在不同的物理内存之上，尽管不同进程的线性地址，可能是不同的，也可能是相同的！细心的童鞋儿，会发现，GDTR 和 LDTR 寄存器，在命名规则上，除了首字母不同，其它都是相同的！

注意，段描述符中，第 41-44 位，是 TYPE ，其 配合 段描述符 中的 第 45 位 S 位 的值，来确定 当前 段描述符 所指向的 段空间 是 数据段空间，还是 代码段空间！注意，段描述符中，第 55 位，存储着 D / B 位 ，其影响着，段的寻址方式！如果值为 0 ，意味着，这个段描述符，也会是无效的！注意，段描述符中，第17-32位，存储着 段地址 的 第1-16位 ，第33-40位，存储着 段地址 的 第17-24位，第57-64位，存储着 段地址 的 第25-32位。

在进行代码审计工作时，在进行渗透测试行为时，当我们发现某个网页文件的内容中包含有类似上述代码内容，那么通常意味着，这个网页文件的内容，是可疑的！这个网页文件的内容安全性，是需要进行深入鉴定的！接下来，让我们观察一篇恶意代码中的部分内容，分析一下，它是如何躲避浏览器的恶意代码检测的！通过观察，我们获知，加密数据，是以数字形式存储的，那么，我们不禁想到了 ASCII 编码！恶意脚本，就是如此悄悄的潜入你的浏览器，并去执行恶意代码的！通过上述的观察，我们可知，代码混淆 使用的是 ASCII编码序列技术！

script 标签 的 src 属性，指向跨域脚本的URL地址！如果客户端，是我们自己编制的浏览器，或者是自己编制的可以解析网页内容的脚本，那么，我们是可以突破同源策略限制的！由于 浏览器的同源策略，并没有对 script 等标签进行同源限制，这导致了 恶意黑客 可以利用这一特性，并通过一些 Web 网站中所存在的XSS注入漏洞，将一些恶意的代码（包含 script 相关内容，而 script 的 src 属性的值，可能是指向某个其它域的、包含木马脚本的URL地址）内容嵌入到 Web 网站的指定页面中。

接上一篇文章内容，讲述如何进行Phpsploit-Framework软件的基础使用和二次开发。本系列课程，将重点讲解Phpsploit-Framework框架软件的基础使用！Phpsploit-Framework 软件。Phpsploit-Framework 软件。Phpsploit-Framework 软件。Phpsploit-Framework 软件。Phpsploit-Framework 软件。Phpsploit-Framework 软件。Phpsploit-Framework 软件。

对于大体积文件，长时间的等待，可能会耗尽文件下载者的耐心，下载文件的用户，并不知道，文件已经下载了多少，以及什么时候才能够将文件彻底下载完毕！接上一篇文章内容，讲述如何进行Phpsploit-Framework软件的基础使用和二次开发。本系列课程，将重点讲解Phpsploit-Framework框架软件的基础使用！Phpsploit-Framework 软件 Wget 功能。的截图，显示全部的下载进度，需要显示的截图，实在是太多了！Phpsploit-Framework 软件的作者。我们，继续讲一下 ，

本系列课程，将重点讲解Phpsploit-Framework框架软件的基础使用！我们，继续讲一下 ，Phpsploit-Framework 软件的。Phpsploit-Framework软件。Phpsploit-Framework软件。Phpsploit-Framework软件。Phpsploit-Framework软件。Phpsploit-Framework软件。Phpsploit-Framework软件。Web主机存活状态扫描。Web主机端口开放扫描。Web主机存活状态扫描。Web主机端口开放扫描。

软件提供的 File 文件管理功能在线创建的文件的文件名，会带有显著的 .phpsploit 字样标识，在进行 安全运维 或 渗透测试 行为结束时，可以非常方便的进行相应文件的清理工作。Phpsploit-Framework 软件的 File 文件管理功能，是 Phpsploit-Framework 软件的一大。人员，Phpsploit-Framework 软件提供的 File 文件管理功能，都将成为其日常工作的强大。软件提供的 File 文件管理功能，进行指定类型文件的创建。File 文件管理功能。

软件查看指定文件的相关信息，包括文件名称、文件路径、文件大小、文件类型、文件的访问权限、文件所属用户及对应ID，文件所属用户组及对应ID、文件创建时间、文件修改时间 等，对于一名安全运维，或渗透测试人员来说，这些信息都是非常重要的！软件搜索出了很多文件名称中包含字符串内容 “.php ” 的相关文件，并将它们的所在路径分别展示了出来！（这样做的原因，可能是由于二进制格式的内容，以纯文本方式将变得无法正常显示），我们可以通过。软件的 File 文件管理功能，来查看指定文件的属性及内容信息！

在数据库服务器中创建账户名称为“ test_huc0day ”的数据库账户，对应的账户密码为“ test_huc0day ”，数据库账户 “ test_huc0day ” 的网络访问限制为 “ localhost ”（本机访问）。在数据库服务器中，为账户名称为“ test_huc0day ”的数据库账户，赋予访问全部数据库及其下属数据表的权利（符号“ * ”，代表全部）。这大大加强了通信数据的安全性！在数据库服务器中，为账户名称为“ test_huc0day ”的数据库账户，更新网络访问权限域和密码。

都会知道，将 shellcode 代码存储于单独文件，或者寄生于其它文件中，都会很容易被发现，甚至被清除！基于文件的内容扫描，基于特征码的安全扫描，早已在各大安全软件中被实现，将 shellcode 代码 寄存于文件内容中的做法，早已过时！的作者，已经意识这一点，在Phpsploit-Framework 软件中加入了操作共享内存资源的相应模块。本系列课程，将重点讲解Phpsploit-Framework框架软件的基础使用！Phpsploit-Framework 软件。堆溢出、栈溢出、格式化漏洞利用。

并且，由于提供相应加解密功能的网络站点的管理权归属于不可控的第三方，对于敏感的数据，难免存在被劫持、记录，甚至恶意利用的风险。对于高度敏感的数据，使用在线的加解密功能站点，是比较不安全的！在 Phpsploit-Framework 软件的 Security 加解密 功能模块中，集成了大量的、实用的加解密功能模块，例如 url encode / decode URL编码解码、base64 encode / decode BASE64 编码解码、 md5 加密、sha1 加密 等。今天，我们来重点讲解下。

Phpsploit-Framework 软件的作者，身为一名资深的白帽子黑客，为了解决此类问题，花费了大量精力与时间，通过查询大量安全技术文档，手动翻译大量相关文档内容，在 Phpsploit-Framework 软件中集成了 Guide 指导手册 功能模块，为信息安全领域的学习者们敞开了一扇“方便之门”！然而，由于安全工具数量较多，在 Phpsploit-Framework 软件出现之前，刚刚入门信息安全领域的童鞋儿，可能会陷入学习的混乱之中。Phpsploit-Framework 软件。

违反国家规定，侵 入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。