系统安全
文章平均质量分 92
优惠券已抵扣
余额抵扣
还需支付
¥19.90
¥99.00
购买须知?
本专栏为图文内容,最终完结不会低于15篇文章。
订阅专栏,享有专栏所有文章阅读权限。
本专栏为虚拟商品,基于网络商品和虚拟商品的性质和特征,专栏一经购买无正当理由不予退款,不支持升级,敬请谅解。
H4ppyD0g
中科院某研究所在读学生,主要方向为云计算/云原生安全,博客记录平时学习过程中的笔记,不免参考各种文章资料(如有侵权请联系删除),也会存在一些知识误区,欢迎师傅们指正。付费专栏和资源都是花费长时间整理的,收费仅作为整理资料的劳动收获,如果原作者认为侵权也请联系删除。
展开
-
系统调用捕获和分析—修改内核方法添加系统调用
makeoldconfig是用当前的.config作为基础,按相互依赖关系重新生成一个.config文件。就把作为基础的.config重命名为.config.old,用于恢复对.config的修改。在将新的设定更新到.config中去的同时,将原来的.config文件保存为.config.old)。makemodules是单独编译模块,驱动被配置成M的都是modules,modules不会被编译进内核image,需要单独安装到rootfs。下添加一个文件syshello.c,其中是添加的系统调用。...原创 2022-07-24 15:03:36 · 504 阅读 · 0 评论 -
系统调用捕获和分析—Ring0层kprobe劫持系统调用
首先kprobe是最基本的探测方式,是实现后两种的基础,它可以在任意的位置放置探测点(就连函数内部的某条指令处也可以),它提供了探测点的调用前、调用后和内存访问出错3种回调方式,分别是pre_handler、post_handler和fault_handler,其中pre_handler函数将在被探测指令被执行前回调,post_handler会在被探测指令执行完毕后回调(注意不是被探测函数),fault_handler会在内存访问出错时被调用;编译,插入模块,查看内核信息。Makefile文件。...原创 2022-07-24 15:08:14 · 404 阅读 · 0 评论 -
系统调用捕获和分析—完结篇制作系统调用日志收集系统
linux下系统调用日志收集系统原创 2022-07-24 15:13:17 · 343 阅读 · 0 评论 -
系统调用捕获和分析—通过strace获取系统调用信息
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注!完整系列文章列表系统调用捕获和分析—通过ptrace获取系统调用信息在linux操作系统中,应用程序执行时的进程不能直接访问底层硬件设备,只能通过系统调用的方式调用内核提供的接口,使得其从用户态转为内核态,达到访问硬件设备的目的原创 2022-06-06 13:25:01 · 532 阅读 · 1 评论 -
系统调用捕获和分析—使用LKM方法添加系统调用
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注!这也是作者极力推荐的一个系列文章!完整系列文章列表系统调用捕获和分析—通过ptrace获取系统调用信息系统调用捕获和分析—通过strace获取系统调用信息系统调用捕获和分析—必备的系统安全的知识点LKM(Load Kerne原创 2022-06-13 14:22:57 · 496 阅读 · 0 评论 -
系统调用捕获和分析—通过ptrace获取系统调用信息
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注!文章目录ptrace系统调用利用ptrace获取进程的系统调用ptrace系统调用linux提供了ptrace系统调用接口,通过这个接口可以实现进程的跟踪功能。以此实现父进程对其子进程进行控制和改变子进程核心镜像,包括读写子原创 2022-05-31 16:55:20 · 653 阅读 · 0 评论 -
系统调用捕获和分析—Ring3层LD_PRELOAD机制进行库函数劫持
根据Linux对外部动态共享库的符号引入全局符号表的处理,后引入的符号会被省略,即系统原始的.so(/lib/libc.so.6)中的符号会被省略。如果当前进程空间中已经存在某个同名的符号,则后载入的so的同名函数符号会被忽略,但是不影响so的载入,先后载入的so会形成一个链式的依赖关系,通过RTLD_NEXT可以遍历这个链。注意当调用dlsym的时候传入RTLD_NEXT参数,gcc的共享库加载器会按照"装载顺序(loadorder)(即先来后到的顺序)"获取"下一个共享库"中的符号地址。...原创 2022-07-24 15:05:46 · 288 阅读 · 0 评论 -
系统调用捕获和分析—必备的系统安全的知识点
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注!完整系列文章列表系统调用捕获和分析—通过ptrace获取系统调用信息系统调用捕获和分析—通过strace获取系统调用信息 普通函数调用是通过将参数压栈的方式传递的。系统调用从用户态切换到内核态,在两种执行模式下使用的是不同原创 2022-06-13 14:20:33 · 947 阅读 · 0 评论 -
[系统安全] 虚拟化安全之虚拟化概述
虚拟机自省要实现对虚拟机内部的细粒度监视,必须从外部确定虚拟机中哪块区域是有意义的,这块有意义区域被安放在宿主机物理内存的哪个地方,这个地方存储的是任意数量的01组合,如何将其还原成在虚拟机中看来是有语义含义的字符序列或数据结构。页表初始化的过程:最开始的时候用户态物理内存为空,当有进程开始执行时,就会开始访问虚拟内存,由于此时的虚拟页并没有映射到物理页帧,因此会触发缺页中断,然后从物理页中申请页,并分配给虚拟页,进而建立虚拟页和物理页帧之间的映射关系,同时填充页表项。然后为此虚拟地址分配新的物理页。原创 2023-02-26 16:50:27 · 638 阅读 · 1 评论 -
[系统安全] 恶意代码分析实战基础之必备知识点和常用工具记录
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。前文链接[系统安全] PE文件格式详解1[系统安全] PE文件格式详解2[系统安全] Windbg Preview调试记录[系统安全]《黑客免杀原创 2022-01-06 16:59:11 · 3135 阅读 · 0 评论 -
[系统安全]《黑客免杀攻防》MFC逆向基础实战
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。原创 2021-12-25 16:54:37 · 2015 阅读 · 0 评论 -
[系统安全] MyCCL免杀实验
文章目录MyCCL定位特征码原理MyCCL定位nc实验MyCCL定位特征码原理myccl采用遇到特征码就将其覆盖的原理,逐段暴露原文件数据内容的方式将一个待分析文件分成多个文件。MyCCL定位nc实验在MyCCL中打开nc文件,选择分块个数为100,然后点击生成,会在目标文件夹下生成100个经过处理的文件,如下所示第一段0000是文件的序号,第二段是文件开始的位置,第三段是单位长度。然后用火绒进行查杀,并删掉报毒的文件,再点击二次处理这个二次处理就是查看那个文件被删了,从而定位出特征码所原创 2022-03-12 18:52:29 · 1783 阅读 · 0 评论 -
[系统安全] Windows逆向必备知识、逆向分析小实战
函数调用约定Windows API匈牙利表示法Windows注册表组件对象模型COM逆向分析小实调用约定关键字参数入栈顺序堆栈回收C标准规范__cdecl从右到左调用者负责快速调用规范__fastcall前几个参数寄存器传参,之后从右到左被调用者负责标准调用规范__stdcall从右到左被调用者负责注意函数调用约定是编译器的事情,即在把C源码编译成汇编代码时考虑;而如果只关注源码的话,除了在函数前声明使用哪种约定外,没有任何差别。...原创 2022-01-08 15:40:57 · 3035 阅读 · 0 评论 -
[系统安全] 万字总结系统虚拟化之容器底层原理实验
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些知识,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。前文链接[系统安全] PE文件格式详解1[系统安全] PE文件格式详解2[系统安全] Windbg Preview调试记录[系统安全]《黑客免杀原创 2022-02-13 12:42:21 · 2285 阅读 · 0 评论 -
[系统安全] 逆向工程进阶篇之对抗逆向分析
线性反汇编策略是遍历每一个代码段,根据二进制码进行反汇编,缺点是不会区分某个二进制码是数据还是指令,全部按照指令来反汇编。如果在一个函数开头加上这个字节码,则反汇编器会认为是一个call指令,这条call指令占用了函数开头的4个字节,从而破坏掉要这个完整的函数。通过使用windwos提供的api可以判断自己是否正在被调试,比如下面的一些函数,如果在分析的代码中看到这些函数,就说明这个代码样本在检测自身是否被调试。当恶意代码意识到自己被调试时,可以改变正常的执行路径或者修改自身程序导致崩溃而对抗调试。原创 2022-10-14 12:52:00 · 2332 阅读 · 0 评论 -
[系统安全] 逆向分析之高级动态分析技术笔记
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些知识,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。前文链接[系统安全] PE文件格式详解1[系统安全] PE文件格式详解2[系统安全] Windbg Preview调试记录[系统安全]《黑客免杀原创 2022-01-16 13:54:44 · 2221 阅读 · 0 评论 -
[系统安全] malloc的底层原理—ptmalloc堆概述
当需要分配一个 small chunk,但在 small bins 中找不到合适 的 chunk,如果 last remainder chunk 的大小大于所需的 small chunk 大小,last remainder chunk 被分裂成两个 chunk,其中一个 chunk 返回给用户,另一个 chunk 变成新的 last remainder chuk。内存分配时,先在fast bin中找是否有满足条件的chunk,没有的话再去small bins中找。原创 2022-09-19 19:35:37 · 1084 阅读 · 0 评论 -
[系统安全] PE文件格式分析实战基础—分析helloworld文件
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。原创 2021-12-30 14:22:46 · 771 阅读 · 0 评论 -
[系统安全]《黑客免杀攻防》逆向基础之经典脱壳基础
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。前文链接[系统安全] PE文件格式详解1[系统安全] PE文件格式详解2[系统安全] Windbg Preview调试记录[系统安全]《黑客免杀原创 2022-01-02 15:22:30 · 3181 阅读 · 0 评论 -
[系统安全] 系统虚拟化之容器底层原理实验
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些知识,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。前文链接[系统安全] PE文件格式详解1[系统安全] PE文件格式详解2[系统安全] Windbg Preview调试记录[系统安全]《黑客免杀原创 2022-01-21 15:05:00 · 1165 阅读 · 0 评论 -
[系统安全] PE文件格式详解2
IMAGE_EXPORT_DIRECTORYIMAGE_IMPORT_DESCRIPTORIMAGE_RESOURCE_DIRECTORY原创 2021-12-23 19:59:22 · 956 阅读 · 0 评论 -
[系统安全] PE文件格式详解1
PE文件格式是微软Windows NT内核系列系统和 Win32子集中可执行的二进制文件格式。这种文件格式是微软基于COFF 文件格式的设计思想设计的。COFF (Common Object File Format,通用目标文件格式)是应用于数种 UNIX系统中的目标文件和可执行文件的格式。对应的,在linux下的可执行文件格式采用ELF(Executable and Linkable Format)。MS-DOS头、DOS SubMS-DOS头存在于每个PE文件中,它的存在完全是出于兼容性的考虑。原创 2021-12-15 19:12:20 · 3120 阅读 · 0 评论 -
[系统安全] 反病毒与免杀原理概论
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。原创 2022-01-03 14:32:50 · 801 阅读 · 0 评论 -
[系统安全] Windbg Preview调试记录
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新。原创 2021-12-24 21:04:01 · 2439 阅读 · 0 评论 -
[系统安全] windows下C++编写第一个加壳程序
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。前文链接[系统安全] PE文件格式详解1[系统安全] PE文件格式详解2[系统安全] Windbg Preview调试记录原创 2021-12-30 10:10:15 · 3848 阅读 · 2 评论