有奖直播 | 就在明天15:00!艾体宝Lepide解锁AD审计新方案,彻底告别手动日志分析!
点击“蓝字”关注我们倒计时1天直播概述上一期直播,我们系统讲解了AD的核心职能,同时强调了AD作为企业安全基石的重要性、常见安全隐患与识别方法,以及如何通过Lepide平台实现自动化监控、风险可视化和
阅读全文深度伪装:黑客如何把恶意软件“走私”进 AI 模型
这是一个关于深度学习模型供应链安全的深度技术博客。博文基于 Palo Alto Networks 研究员 Mohamed Nabeel 和 Oleksii Starov 的最新研究论文《Deep Di
阅读全文深入分析AuraSteale-MaaS混淆与对抗技术
前提要点AuraStealer 是一种新兴的恶意软件即服务 (MaaS) 信息窃取者。为了阻止静态和动态分析,AuraStealer 采用了广泛的反分析和混淆技术,包括间接控制流混淆和异常驱动的 AP
阅读全文SideWinder(响尾蛇) APT最新“隐身”攻击链剖析
在例行遥测中捕捉到一条极难发现的 SideWinder(又名 Rattlesnake、T-APT-04)攻击链。该组织长期以南亚政府、军工、财税等高价值目标为猎物,此次将矛头对准印度所得税纳税人,通
阅读全文银狐系valleyRAT工具对抗技术浅析
ValleyRAT 是一种多阶段远程访问木马(RAT),主要针对中文用户和组织,常与“SilverFox” 组织关联。本篇报告重点在分析与总结valleyRAT黑客工具的技术对抗手段,以及可能的检
阅读全文Active Directory 渗透测试快速指南:从架构到攻击链
在现代企业 IT 架构中,Microsoft Active Directory(AD) 几乎是 Windows 网络环境的“中枢神经系统”。它不仅管理着用户身份、计算机资产和访问权限,还通过组策略(
阅读全文深入解析现代 Windows 结构化异常处理(SEH)(x64)
在 Windows 平台上,操作系统实现了一套独有的异常处理机制 —— 结构化异常处理(SEH) 和 向量化异常处理(VEH),这可以看作是对传统 C/C++ 语言异常处理机制的扩展,用于在运行时处
阅读全文EtherHiding:APT恶意软件隐藏区块链里
Google 威胁情报组发现朝鲜威胁组织 UNC5342 开始用 EtherHiding 来发恶意软件、偷加密货币。这是我们第一次看到国家队用这招。本文会详细分析这个技术和事件。EtherHiding
阅读全文工具推荐:向杀毒软件注入恶意代码
一、引言在对目标机器进行渗透测试时,杀毒软件会对我们的操作进行严格监控和判断。如果我们的payload被认定为危险,可能会被系统删除,甚至导致我们完全失去对目标机器的访问权限。然而,杀毒软件自身的进
阅读全文windows综合内核调试技术
1. 基础内核调试命令命令作用.logfile查看是否已设置日志文件.logappend <完整路径>新建或追加日志文件,示例:.logappend c:\\\\kernel-logs.logg继续
阅读全文Kimsuky(APT)泄漏工具包分析,附网盘下载地址
前言本文分析了一个APT工作站的数据泄露内容。这些数据和源代码来自针对韩国和中国台湾的威胁行为者的工作站。 我们相信这是朝鲜“Kimsuky”组织的一员(参考文献#14)。Kimsuky是一个由朝鲜政
阅读全文剖析 Cmimai Stealer 的 VBS 有效负载
最近,我们看到了一条关于 Cmimai Stealer 的推文,这是一种 VBS(Visual Basic 脚本)信息窃取程序,于 2025 年 6 月开始浮出水面。该恶意软件是一类 Infoste
阅读全文浅析针对大模型的嵌入式提示词注入恶意软件分析
前言&背景二进制逆向分析一直都被看作是枯燥无聊的工作,恶意软件分析群体,对于GenAI的新奇也是抱有怀疑态度,但是又充满希望:新AI技术兴起,能否改变逆向的游戏原则。乐于研究新技术的团队,已经开始了
阅读全文国护期间针对某通信公司的白加黑样本分析
投递阶段整个技术是白加黑加载shellcode loader,然后加载C2工具。伪造的文件是白的Wondershare*,CC工具是vshell,*这个go写的c2框架工具现在已经没有公开下载源了,
阅读全文揭露天鹅向量(Swan Vector)APT组织:针对中国台湾和日本的多阶段DLL植入攻击
引言最近实验室的APT团队最近发现了一项名为“天鹅向量”的攻击活动,该活动主要针对中国台湾和日本的教育机构和机械工程行业。攻击者利用虚假简历作为诱饵,通过复杂的多阶段恶意软件生态系统实施攻击。本文将
阅读全文利用 Windows 更新堆栈获取系统访问权限(CVE-2025-21204)附exploit
CVE-2025-21204 是 Windows 更新堆栈中的一个本地提权漏洞。攻击者通过滥用目录连接点或符号链接,可以劫持由 MoUsoCoreWorker.exe 等以 SYSTEM 级别运行的
阅读全文针对MCP协议Agent攻击
什么是MCP协议扩展阅读:https://modelcontextprotocol.io/introductionMCP 是一种开放协议,它标准化了应用程序如何为 LLMs.将 MCP 想象成 AI
阅读全文如何攻击LLM 和AI Agent(PART1)
面向白帽子的几个重要概念系统提示词(system prompt)系统提示是开发人员为模型设置的指令,有时也被称为 “系统指令” 或 “开发者消息”。它们通常对终端用户不可见,但会极大地影响模型的行为
阅读全文CDN资产检测技术(2025)
阅读体验更好可访问:https://jentletao.top/2025/03/14/CDN%E8%B5%84%E4%BA%A7%E6%A3%80%E6%B5%8B%E6%8A%80%E6%9C%AF
阅读全文100种容器攻击手法
容器安全攻防指南:100种攻击方法背后的防护策略—— 从漏洞利用到防御体系的全面解析公众号回复:100容器获取全文PDF引言:容器安全为何如此重要?容器技术凭借轻量化、易部署的特性,已成为现代云原生
阅读全文光环下的裂痕:浅谈360政企安全是“数字铁壁”还是“泡沫蓝图”
前言前几天看到360发布《2024年全球高级持续性威胁(APT)研究报告》,依旧是国内高质量技术年报的标杆,但是回顾一年间企业的“骚操作”,以及民营企业座谈会没有红衣教主的身影,不禁为老东家感到一点汗
阅读全文反反rootkit--覆盖驱动与隐藏线程
覆盖驱动与隐藏线程在上一篇博客中,我们有了一个小型反Rootkit驱动的开发。这个驱动能够检测映射到无支持内存的恶意驱动,前提是这些恶意驱动要么作为标准的Windows驱动运行(为IRP通信注册设备
阅读全文