发表于 |
防御架构原则防守体系建设三部曲三个层面的攻防对抗:信息对抗、技术对抗、运营能力对抗 信息对抗:知己知彼,情报优势 技术对抗:高维防守、建立优势、工程化 运营能力对抗:闭环运营、执行力 大规模生产网络的纵深防御架构互联网安全理念作者赞同腾讯的“河防”以及数字公司(应该指的360 )用的“塔防”概念 ...
阅读全文 »

发表于 |
安全大环境与背景对于有一定IT资产的企业,企业安全不是发现漏洞然后修复漏洞,在设置一下防火墙之类的。 攻防只解决了一半的问题,安全的工程化以及体系化的安全架构设计能力也是同样重要的。 安全建设包含:组织、管理、技术,组织 就是安全组织 作者认为的企业安全:从广义的信息安全或者狭义的网络安全出发,根据 ...
阅读全文 »

发表于 |
IDA安装通过在ida的python console输入下面代码获取plugin路径(下面获取的一般是C盘的用户路径,C:\Users\XXXX\AppData\Roaming\Hex-Rays\IDA Pro\plugins),或者你直接放到IDA根目录的plugins文件夹 1import id ...
阅读全文 »

发表于 |
centipede是谷歌的新的分布式模式测试工具,不过现在合并到了https://github.com/google/fuzztest, 没合并之前,有个人搞了个Blender,据说是Automatic whole-program fuzzing,就是不需要编写模糊目标函数,而是直接接受要测试的二进 ...
阅读全文 »

发表于 |
通常,Linux恶意软件在启动后会自行删除,以免文件扫描器和完整性检查发现二进制文件的存在。这也会使得取得二进制文件变得困难,从而增加了取证分析的难度。 然而,在Linux上恢复已删除的进程二进制文件是很容易的,只要该进程仍然在内存中。 在 Linux 系统中,/proc/<PID>/e ...
阅读全文 »

发表于 |
概述二进制污染是篡改系统命令并用恶意版本替换它。这可以是全面替换为一个新文件,设计成像旧命令一样运行,或者篡改原地可执行文件,使其直接运行恶意代码。 如果一个毫不知情的用户运行了一个被污染的命令,就是以该用户身份运行攻击者想要执行的代码。 简单污染示例下面的shell模拟污染/bin/ls 注意:不 ...
阅读全文 »

发表于 |
注:下面来自半翻译,半实践 对Linux进程进行取证,可以通过/proc/<PID>/environ来查看某个进程的环境变量,来获取一些信息。 所以说,遇到可疑的进程不要立即杀掉,不然取证都可能无从下手。 背景当在Linux上启动一个进程时,该进程的许多环境变量将在其运行期间保持不变。那 ...
阅读全文 »

发表于 |
简单看下https://github.com/quarkslab/pastis/的样本同步相关的代码 fuzz端fuzz端就两个功能,发送新增的样本或者crash,以及接收新样本 发送新增样本或者crash以afl++为例: https://github.com/quarkslab/pastis/b ...
阅读全文 »

发表于 |
clusterfuzzlite是是一种持续的模糊测试解决方案,作为持续集成 (CI) 工作流的一部分运行,比如我们一旦push代码,便可以自动build,之后自动fuzz。 比如它支持GitHub Actions,GitLab,Google Cloud Build和Prow,我们最常见到的应该是Gi ...
阅读全文 »