Relay学安全

LLVM-pass环境搭建
作者：Relay学安全发布日期：2026-04-20 07:28:35
原理简述Clang的LLVM调用方式Clang吧原始c/cpp代码转换成前端ir(ll文件)或者bc （ir人类可看懂语言，bc机器二进制代码， ir和bc可以相互转换）然后由后端的opt.exe开始
阅读全文
Windows Defender居然爆出重大提权漏洞？杀软反被利用？作者发布两小时的推文后删除？
作者：Relay学安全发布日期：2026-04-16 17:27:27
起初看推文的时候发现作者发布了一个Windows Defender的提权漏洞。我刚将漏洞复现完，作者就把推文删了哈哈.....好在POC还没删，POC还正热乎着。https://github.com/
阅读全文
用户模式文件锁阻止Windows Defender更新
作者：Relay学安全发布日期：2026-04-15 14:39:52
原文地址如下:https://repo-explainer.com/nightmare-eclipse/undefend/项目地址如下:https://github.com/nightmare-ecl
阅读全文
某黑产团队恶意样本中的计划任务权限维持
作者：Relay学安全发布日期：2026-04-08 10:15:15
事出有因，前段时间有一个师傅发给了我一个样本文件，问其中的权限维持是怎么实现的。让我帮忙看看。这个样本其实之前是有师傅分析过的，我们直接谷歌搜索该样本的Hash其实就可以找到相关的文章。https:/
阅读全文
VBS脚本对抗Defender过时了？
作者：Relay学安全发布日期：2026-03-27 16:50:54
通过大量的注释来对抗Defender首先我们可以通过大量的注释来增大VBS文件的体积从而对抗Defender。例如如下图中我们有大量的注释，然后将其真正的恶意代码参杂在这些注释中。HexToStrin
阅读全文
Hta恶意样本分析
作者：Relay学安全发布日期：2026-03-25 17:08:43
免责声明本文所有内容仅供网络安全学习与研究之用，旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所述知识用于合法、授权的环境。严禁任何个人或组织将本文提及的任何技术、方法或工具用于任何非法入侵、
阅读全文
红队攻防-多阶段感染链
作者：Relay学安全发布日期：2026-03-24 22:50:08
免责声明本文所有内容仅供网络安全学习与研究之用，旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所述知识用于合法、授权的环境。严禁任何个人或组织将本文提及的任何技术、方法或工具用于任何非法入侵、
阅读全文
通过互联网大善人Cloudflare挂载你的恶意载荷
作者：Relay学安全发布日期：2026-03-19 16:42:45
我们应该去寻找他人的良好信誉以及合法证书的方法，以此来紧密模拟当今威胁行为者的操作手段。目前大量的威胁行为者都在滥用那些销售存储空间或各种计算服务的第三方服务。这些服务会提供回传URL，而这些URL和
阅读全文
阔别数年，SysWhispers4它终于来了！！！
作者：Relay学安全发布日期：2026-03-10 16:01:07
SysWhispers4简介相信学习过系统调用Syscall的都应该知道SysWhispers4工具。该工具是一个基于Python的系统调用Syscall存根生成器，它能够生成C/ASM代码，用于直接
阅读全文
从内核层看受保护进程：PPL 如何成为杀软的“免死金牌”？
作者：Relay学安全发布日期：2026-03-03 22:12:00
PPL简介随着安全威胁的演变，微软需要一种更强大的机制来保护系统进程免受篡改。微软从Windows8.1和Windows Server 2012 R2开始引入了受保护的轻量级进程，也就是Protect
阅读全文
Windows ETW攻击
作者：Relay学安全发布日期：2026-03-02 20:52:27
微软将ETW定义为操作系统提供的通用，高速追踪设施。这意味着它允许Windows从用户模式应用程序和内核模式驱动程序中收集详细的事件数据，ETW使用缓冲和日志记录机制，为用户模式应用程序和内核模式驱动
阅读全文
MiniFilter内核回调
作者：Relay学安全发布日期：2026-02-28 18:18:40
微过滤器内核回调是专门的回调例程，它用于在不同的阶段监控和拦截文件系统操作。比如在创建文件阶段监控和拦截，在修改文件内容阶段进行监控和拦截。而EDR利用这些回调来捕获有关恶意文件系统活动的遥测数据。比
阅读全文
使用DropBox构建隐秘C2通道
作者：Relay学安全发布日期：2026-02-25 18:33:45
首先来介绍一下DropBox，DropBox是一个云存储以及文件同步的服务，它的核心功能是让用户在不同设备之间无缝的同步文件，并实现云端备份以及团队协作。而我们就可以利用DropBox来作为我们的C2
阅读全文
Echo_Driver任意读驱动
作者：Relay学安全发布日期：2026-02-24 11:50:02
Echo_Driver.sys驱动下载地址:https://www.loldrivers.io/drivers/afb8bb46-1d13-407d-9866-1daa7c82ca63/下载下来是一个
阅读全文
Windows追踪事件-ETW
作者：Relay学安全发布日期：2026-02-23 22:31:55
介绍Windows追踪事件简称ETW，ETW可以收集系统上发生的事件和活动的信息。事件如何产生? 这些事件是由操作系统自身，比如加载了某个DLL，打开了某个文件而产生的。需要注意的是用户模式进程和内
阅读全文
某Hao玩Killing Process驱动
作者：Relay学安全发布日期：2026-02-16 00:00:00
免责声明本文所有内容仅供网络安全学习与研究之用，旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所述知识用于合法、授权的环境。严禁任何个人或组织将本文提及的任何技术、方法或工具用于任何非法入侵、
阅读全文
某Hao玩Killing Process驱动
作者：Relay学安全发布日期：2026-02-15 22:53:36
演示视频:驱动文件获取: 公众号后台回复20260215获取漏洞点如下:还是通过ZwOpenProcess来打开进程的句柄后，使用ZwTerminateProcess函数将其结束掉。下面则是根据传
阅读全文
4.LLVM和本地进程镂空
作者：Relay学安全发布日期：2026-02-13 14:16:09
免责声明本文所有内容仅供网络安全学习与研究之用，旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所述知识用于合法、授权的环境。严禁任何个人或组织将本文提及的任何技术、方法或工具用于任何非法入侵、
阅读全文
EDR Killing 如何挖掘？
作者：Relay学安全发布日期：2026-02-12 11:53:32
免责声明本文所有内容仅供网络安全学习与研究之用，旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所述知识用于合法、授权的环境。严禁任何个人或组织将本文提及的任何技术、方法或工具用于任何非法入侵、
阅读全文
3.动态链接库DLL
作者：Relay学安全发布日期：2026-02-11 11:59:23
什么是动态链接库DLL？动态链接库DLL是包含了可执行函数或数据的共享库。它可以被多个应用程序同时使用。他们用于导出函数来供其他进程使用。与EXE不同的是，DLL文件不能自己执行代码。相反DLL文件需
阅读全文
2.免杀基础
作者：Relay学安全发布日期：2026-02-09 12:05:16
Windows APIWindows API为开发人员提供了一种让其应用程序与Windows操作系统交互的方式。例如如果应用程序需要在屏幕上显示内容，修改文件或查询注册表，所有这些操作都可以通过Win
阅读全文
把杀软偷偷关了
作者：Relay学安全发布日期：2026-02-08 19:06:12
免责声明本文所有内容仅供网络安全学习与研究之用，旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所述知识用于
阅读全文
1.免杀基础
作者：Relay学安全发布日期：2026-02-06 14:20:10
免责声明本文所有内容仅供网络安全学习与研究之用，旨在提升安全意识、探讨防御技术。读者必须承诺并保证仅将所
阅读全文
【2025HW招聘】- 河南宁云志
作者：Relay学安全发布日期：2025-03-14 17:31:08
河南宁云志25年国HW招聘前言：2025国家级护网将要开始，我们开启人才筹备计划。此计划旨在为甲方提供高质量安全服务，为师傅们提供稳定可靠的HW项目岗位。公司简介河南宁云志科技有限公司，是一家专注网络
阅读全文
2025HVV · 人才招募就差你
作者：Relay学安全发布日期：2025-03-04 20:13:51
人才招募HVV简介护网行动是国家网络安全的重要组成部分，旨在通过实战演练，提升网络安全防护能力，发现并修复潜在的安全漏洞，保障国家关键信息基础设施的安全。2025年护网行动即将启动，现面向全社会招募网
阅读全文