- 博客(7)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 当“正常”程序不再正常:进程镂空(Process Hollowing)技术机制深度剖析与实现
进程镂空(Process Hollowing)是一种隐蔽的代码注入技术,通过替换合法进程的内存映像来执行恶意代码。其核心步骤包括:创建挂起状态的合法进程,卸载其原始内存映像,写入恶意PE文件,修复重定位表和导入地址表,篡改线程上下文并恢复执行。该技术利用PE文件格式和进程内存管理机制,通过手动解析重定位表和导入表实现恶意代码的隐蔽执行。关键难点在于地址重定位和导入表修复,需在注入器进程中完成相关计算后写入目标进程。这种技术能有效规避传统安全检测,是高级威胁攻击的典型手段。
2025-10-19 17:02:17
1411
原创 在开启VBS的环境下绕过驱动签名强制
首先介绍了DSE机制及其重要性,然后分析VBS(基于虚拟化的安全)技术的防护原理,特别是KDP(内核数据保护)如何保护关键变量。在开启VBS但未启用HVCI的环境下,通过代码热修补技术绕过DSE。
2026-02-24 01:11:06
949
原创 解决硬编码问题:Win8.1及以上版本动态修改进程保护属性
本文介绍了在Windows 8.1及以上系统中动态修改进程保护属性(PPL)的技术方法。通过分析EPROCESS结构体中的PS_PROTECTION字段,利用PsGetProcessProtection函数动态获取保护属性偏移量,避免了传统硬编码方式的兼容性问题。文章详细讲解了实现步骤,包括获取EPROCESS指针、解析函数指令获取偏移量、设置保护类型和签名级别等关键操作,并提供了完整的代码示例,可用于保护关键进程不被未授权终止或修改。
2026-02-01 18:09:16
1136
原创 CVE-2019-16098漏洞复现:利用RTCore64驱动实现DSE绕过
本文分析了利用RTCore64驱动漏洞(CVE-2019-16098)绕过Windows驱动程序强制签名(DSE)机制的技术原理。该漏洞源于微星Afterburner组件中的RTCore64.sys驱动,通过其暴露的IOCTL_KERNEL_WRITE控制码允许任意内核内存读写。
2025-12-02 09:26:44
1277
原创 “哈希值比对”通常比“硬编码”更可取
在软件开发与信息安全领域,哈希值比对较硬编码展现出显著优势。硬编码将敏感信息以明文形式写入代码,存在极大安全隐患,且更新维护繁琐、代码耦合度高。而哈希值比对通过单向哈希算法(如 SHA256)计算数据哈希值进行比对,即便哈希值泄露也无法反向推导原始数据,安全性更高;其更新只需替换哈希值,无需改动核心逻辑;将计算和验证逻辑封装,使代码结构清晰,便于维护扩展。同时,哈希值比对符合行业安全标准,能增强系统规范性与用户信任度。此外,在大型项目中,硬编码哈希值并非良策,建议采用动态哈希值比对结合高级加密标准,最大化系
2025-04-28 17:07:34
1676
原创 勒索软件的加密原理(RSA与AES的混合加密技术)
在数字信息飞速发展的今天,勒索软件如同网络世界的幽灵,给无数个人和企业带来了巨大的损失。它悄无声息地潜入系统,加密重要文件,然后以解密为要挟索要高额赎金。那么,勒索软件究竟是如何对我们的数据进行加密的呢?
2025-02-02 03:58:12
952
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人