windows综合内核调试技术
1. 基础内核调试命令命令作用.logfile查看是否已设置日志文件.logappend <完整路径>新建或追加日志文件,示例:.logappend c:\\\\kernel-logs.logg继续
阅读全文Kimsuky(APT)泄漏工具包分析,附网盘下载地址
前言本文分析了一个APT工作站的数据泄露内容。这些数据和源代码来自针对韩国和中国台湾的威胁行为者的工作站。 我们相信这是朝鲜“Kimsuky”组织的一员(参考文献#14)。Kimsuky是一个由朝鲜政
阅读全文剖析 Cmimai Stealer 的 VBS 有效负载
最近,我们看到了一条关于 Cmimai Stealer 的推文,这是一种 VBS(Visual Basic 脚本)信息窃取程序,于 2025 年 6 月开始浮出水面。该恶意软件是一类 Infoste
阅读全文浅析针对大模型的嵌入式提示词注入恶意软件分析
前言&背景二进制逆向分析一直都被看作是枯燥无聊的工作,恶意软件分析群体,对于GenAI的新奇也是抱有怀疑态度,但是又充满希望:新AI技术兴起,能否改变逆向的游戏原则。乐于研究新技术的团队,已经开始了
阅读全文国护期间针对某通信公司的白加黑样本分析
投递阶段整个技术是白加黑加载shellcode loader,然后加载C2工具。伪造的文件是白的Wondershare*,CC工具是vshell,*这个go写的c2框架工具现在已经没有公开下载源了,
阅读全文揭露天鹅向量(Swan Vector)APT组织:针对中国台湾和日本的多阶段DLL植入攻击
引言最近实验室的APT团队最近发现了一项名为“天鹅向量”的攻击活动,该活动主要针对中国台湾和日本的教育机构和机械工程行业。攻击者利用虚假简历作为诱饵,通过复杂的多阶段恶意软件生态系统实施攻击。本文将
阅读全文利用 Windows 更新堆栈获取系统访问权限(CVE-2025-21204)附exploit
CVE-2025-21204 是 Windows 更新堆栈中的一个本地提权漏洞。攻击者通过滥用目录连接点或符号链接,可以劫持由 MoUsoCoreWorker.exe 等以 SYSTEM 级别运行的
阅读全文针对MCP协议Agent攻击
什么是MCP协议扩展阅读:https://modelcontextprotocol.io/introductionMCP 是一种开放协议,它标准化了应用程序如何为 LLMs.将 MCP 想象成 AI
阅读全文如何攻击LLM 和AI Agent(PART1)
面向白帽子的几个重要概念系统提示词(system prompt)系统提示是开发人员为模型设置的指令,有时也被称为 “系统指令” 或 “开发者消息”。它们通常对终端用户不可见,但会极大地影响模型的行为
阅读全文CDN资产检测技术(2025)
阅读体验更好可访问:https://jentletao.top/2025/03/14/CDN%E8%B5%84%E4%BA%A7%E6%A3%80%E6%B5%8B%E6%8A%80%E6%9C%AF
阅读全文100种容器攻击手法
容器安全攻防指南:100种攻击方法背后的防护策略—— 从漏洞利用到防御体系的全面解析公众号回复:100容器获取全文PDF引言:容器安全为何如此重要?容器技术凭借轻量化、易部署的特性,已成为现代云原生
阅读全文光环下的裂痕:浅谈360政企安全是“数字铁壁”还是“泡沫蓝图”
前言前几天看到360发布《2024年全球高级持续性威胁(APT)研究报告》,依旧是国内高质量技术年报的标杆,但是回顾一年间企业的“骚操作”,以及民营企业座谈会没有红衣教主的身影,不禁为老东家感到一点汗
阅读全文反反rootkit--覆盖驱动与隐藏线程
覆盖驱动与隐藏线程在上一篇博客中,我们有了一个小型反Rootkit驱动的开发。这个驱动能够检测映射到无支持内存的恶意驱动,前提是这些恶意驱动要么作为标准的Windows驱动运行(为IRP通信注册设备
阅读全文