Welcome

前置条件：关闭KVAS 注入 一个基本事实：在进程的地址空间中其实是映射了内核空间的，通过页表的User位确定用户态是否可访问，来实现用户态和内核态的隔离；题外话，Meltdown漏洞通过测信道的方式破除了这一隔离，因此后续引入了KVAS(或称KPTI)机制彻底隔离用户态和内核态。 ...

前言 内核Rootkit以其高权限、高隐蔽性而著称，而传统的防御手段效率过于低下，不适合实战攻防。本文从内核Rootkit攻击的原理出发，剖析了著名的Kdmapper手动映射驱动项目，再从内存扫描、堆栈遥测、通信检测三个角度提出了较为先进的防御手段，帮助读者理解现代内核安全领域的攻防实践手法。 ...

前言 各大论坛、博客讲利用NMI插中断检查堆栈的时候普遍有一个错误：在NMI回调中直接调用了RtlWalkFrameChain或者RtlCaptureStackBackTrace。比如R0g大佬这里百密一疏：[原创]2024鹅厂游戏安全技术竞赛决赛题解-PC客户端-CTF对抗-看雪论坛-安全社区|非营利性质技术交流社区 ...

前言 本文中的沙箱，均指一个受控、虚拟化的环境，专门用来自动运行、监控和分析可疑程序的行为。传统的沙箱根据监控、收集恶意软件行为的方式，可以分为两种模式：一种是基于API Hook的沙箱，如Cuckoo；一种是基于虚拟化技术(VT-x with EPT)的沙箱，如DrakVuf。 ...

什么是PTE Hook 常规的inlineHook思路是直接修改目标函数的代码，使其先执行我们自己的函数，再跳转回来执行原函数。这种Hook是全局的，即Windows中每一个进程一旦调用被Hook的函数，就会受到我们的影响，也很容易被PatchGuard检查到。 ...