冲鸭安全

深入研究银狐木马通过网络致盲安全软件的技术原理与解决方案
作者：冲鸭安全发布日期：2025-08-31 10:00:00
前言从2025年的安全对抗环境的越来越猖獗的银狐事件来看,我们进入了国内安全行业泡沫被戳破后的回归期:国内正在回归到最原始的技术论成败的阶段,而不是PPT美观论成败阶段.这一点,可以从这几年银狐/R
阅读全文
从0制作IDA的F5代码还原功能(hex-rays插件) 上
作者：冲鸭安全发布日期：2025-08-12 09:30:00
前言说来惭愧,鸭哥的业余时间娱乐活动一般除了 dota 外,就还剩下写代码,尤其是一些”高难度”的代码,我喜欢业余的时候打磨一下.每年给自己定个目标,比如去年是 VMP 还原的代码[2025]VMP3
阅读全文
VMP源码学习(1) 变异分析与代码bug
作者：冲鸭安全发布日期：2025-07-31 10:00:00
VMP源码学习——变异分析背景：VMP在23年泄露了一份代码，尽管目前在github上代码已经大部分被删除，但也让我们有机会得以窥探一眼这款商业混淆软件的内部原理。目前，网上关于这份源码的分析“少之又
阅读全文
冲鸭一周年:聊一下企业办公网终端的EDR安全运营
作者：冲鸭安全发布日期：2025-07-06 15:36:39
前言不知不觉,在安全行业干了4年整了,所以今天不聊技术,聊一下安全运营.众所周知,鸭哥在戎码负责开发EDR的同时还要负责内网运营和情报运营。如何给领导(以下都叫做客户,因为作为安全运营人员,领导就是自
阅读全文
Windows的高级内存防护介绍
作者：冲鸭安全发布日期：2025-06-23 14:20:25
来自戎码高级安全研究员kanren3的投稿:背景在 Windows XP 时代以后，微软意识到了系统安全的重要性，因此逐步加强 Windows 自身的安全机制，从早期的 PatchGuard，到如今的
阅读全文
Windbg TTD 还原 .NET JIT 保护壳探索
作者：冲鸭安全发布日期：2025-06-18 10:00:00
本篇是来自0x指纹的投稿,欢迎其他搞二进制技术的人来我这边投稿一起交流技术https://bin4re.github.io/blog/2025/06/12/windbg-ttd-restore-dot
阅读全文
PE代码执行虚拟机详解&原理&源码
作者：冲鸭安全发布日期：2025-06-16 14:30:33
前言粉丝要求,安排!不过我不知道是PE代码虚拟执行还是指虚拟化壳的. 而且还问不了!所以先写一篇关于PE代码虚拟机的，下一篇再写一个关于虚拟化壳的,全都要。源码先丢这里,可以看着源码对着学习https
阅读全文
安全开发: 联动驱动进行拦截弹窗
作者：冲鸭安全发布日期：2025-06-08 14:23:08
前言在上一章中我们实现了一个漂亮的界面并且随时能弹窗,现在让我们联动驱动的消息,实现一个简单的拦截whoami.exe启动的规则改进我们遇到的第一个问题是,CEF的弹窗是异步的,而我们需要同步拦截(你
阅读全文
IDA原理入门(四): 函数参数识别
作者：冲鸭安全发布日期：2025-05-19 10:00:00
简介没看过的请看之前的第三篇。本篇是第四篇，讲述怎么计算函数参数IDA原理入门(三): 控制流追踪与CFG Blocks构建函数参数识别我们必须要知道一个事实是, 在没PDB之前，是没有一个准确的函数
阅读全文
目前我见过的最强rootkit应急响应工具
作者：冲鸭安全发布日期：2025-05-11 15:42:42
在安全运营中,我们时常会遇到rootkit驱动木马,如银狐,紫狐,麻辣香锅,SDT,独狼等等。遇到了真的是叫天天不灵,叫地地不灵. 杀毒软件全部拉闸,网上的ark 如pchutner什么的可能还不支
阅读全文
免杀之LLVM PASS入门: hello world
作者：冲鸭安全发布日期：2025-05-06 10:00:00
前言五一本来想出去玩的,但是人太多了,所以来研究一下llvm pass,不得不说,这玩意是真的方便,之前写壳花了大力气都在函数识别,全局变量识别,重定位等等上了,而pass用来做各种代码层面的事情正
阅读全文
冲鸭安全QQ群来了
作者：冲鸭安全发布日期：2025-04-30 17:33:54
立刻加群不迷路。Q群主要讨论二进制和Windows/linux/mac/ios内核开发，不能讨论免杀。为了过滤一部分人, 进Q群有门槛:进群四选一回答问题并且带上你的公司名字和职位，学生填学生为什么
阅读全文
VMP3.x内部原理详解与还原思路
作者：冲鸭安全发布日期：2025-04-20 10:00:00
前言这几天在逐步把github的项目移动到gitlab里面,无意间发现了三年前写的VMP还原的项目。发现那会的思路笔记什么的都忘记的差不多了，所以趁着现在还记得起来。赶紧写一下记录着。VMP内部让我
阅读全文
从核晶入手浅谈一下syscall这块的攻防对抗
作者：冲鸭安全发布日期：2025-04-15 10:00:00
前言在hypervisor中,特别是安全软件的hv,接管syscall无非三种办法,MSR HOOK,EPT/NPT HOOK,EFER HOOK。本文来炒旧饭，对这些方法进行总结以及来说一下怎么检测
阅读全文
终端安全软件开发中关于性能方面的一个坑
作者：冲鸭安全发布日期：2025-04-01 10:00:00
广告: 考虑到这篇质量很高但是那会粉丝少,阅读量低得惊人(100阅读),所以引个流:【漏洞分析】从驱动直接读写物理内存漏洞到内存加载驱动分析几年前(3年前,才发现已经三年了),开发EDR的过程中用户
阅读全文
微调deepseek让它变成网安的业务模型
作者：冲鸭安全发布日期：2025-03-21 10:00:00
警告只是个人研究,数据不涉密,并且跟公司产品无关前言前几个月一直在折腾DS的落地，不得不说，DS只需要一个极低的成本(1w以内)就能落地部署。DS出来后,就想搭建一个AI SOC用于做自动AI告警研判
阅读全文
从0制作现代启发式AI杀毒引擎,附源码
作者：冲鸭安全发布日期：2025-03-10 10:00:00
前言冲鸭安全突破3000粉丝了,应该国内大半个搞安全的人都在看了.所以整个大的活.为什么突然想搞这个,因为在做国内安全业务的时候,我意识到,国内的平均技术水平还有很大的挖掘价值.很多人从事安全,可能也
阅读全文
IDA原理入门(三): 控制流追踪与CFG Blocks构建
作者：冲鸭安全发布日期：2025-02-26 10:00:00
IDA原理入门(三): 控制流追踪与CFG Block构建简介没看过的请看之前的IDA背后的原理入门(一): 简介&函数识别IDA背后的原理入门(二): 函数大小计算本篇是第三篇CFG 分析的基本原理
阅读全文