基于大模型的病毒木马文件云鉴定
前言不开玩笑的说,这玩意比实习生靠谱事情的起因是一年前我说过做基于HLIL的语义驱动的杀毒引擎,现在年底了,也应该要拿出来了:《2024年终: 木马病毒自动化特征提取&云端机器学习的思路分享》2024
阅读全文DeepSeek V3.2策略游戏测试 | 进步很大
众所周知昨天DS发布了V3.2.据说是极大的提高了智商,所以我准备拿上次的帝国时代2游戏竞技场来复测一次。让AI通过MCP工具操作游戏, 玩策略游戏,最终打败对手:中秋特辑:中外AI大战!让AI们通过
阅读全文"破碎注入"无痕注入不使用任何进程句柄的注入技术原理分析
破碎攻击(Shatter Attack)概念来源所谓 Shatter Attack 是一种早期(主要在 Windows NT、Windows 2000、Windows XP 时代被关注)的本地特权提升
阅读全文安全开发(终章): 主动防御架构设计/查杀引擎设计/下一代查杀引擎展望
前言终于,我们迎来了整个系列的完结,在此之前请阅读之前所有内容,因为本章包含了大量信息,不可以逃课.安全开发: 实现拦截病毒并且弹窗[预约订阅]高级安全研究之路:拒绝内耗,通过阅读提高自己在上一篇中,
阅读全文VMP3源码学习——虚拟化
VMP3源码学习——虚拟化背景:前文中我们已经分析了源码中的变异核心指令,我们书接上文,本文中我们来看一下VMP中的虚拟化相关功能的代码,vmp的运行流程可以参考鸭哥的(VMP3.x内部原理详解与还原
阅读全文通过分析加密流量快速检查手机是否中了APT远控
前言最近 国家授时中心 被美国用三角测量行动同样的手法攻击了iphonehttps://mp.weixin.qq.com/s/XPjT0BVOJPJxSmASW0tXTA众所周知,windows的安全
阅读全文中秋特辑:中外AI大战!让AI们通过MCP玩帝国时代2
前言说来话长, 熟悉我的人都知道,我每年国庆都会在家整点活,去年是深度研究APT组织Storm0978的高级注入技术StepBear今年是AI通过MCP玩帝国时代2!本系列非常非常非常复杂,原因是我一
阅读全文"ucpd.sys后门事件"详细分析技术报告-他是后门.....吗?
前言老实说,我非常不喜欢蹭热点,因为我认为人生不能把时间浪费在无意义的争论上.但是最近一篇文章引起了我的兴趣:因为整个微信公众号,整个新闻页面,都是这玩意了,不小心点了之后,感谢大数据,我的各种社交媒
阅读全文阻止通过漏洞驱动利用(byovd)技术致盲安全软件
前言byovd,在2014年左右这些在业内还是被叫做"vulnerable driver"也不是什么神秘的东西,我知道的到现在也就几十年了吧(实际可能更早,比如NSA的那个远控XP时代就用了)这些驱动
阅读全文深入研究银狐木马通过网络致盲安全软件的技术原理与解决方案
前言从2025年的安全对抗环境的越来越猖獗的银狐事件来看,我们进入了国内安全行业泡沫被戳破后的回归期:国内正在回归到最原始的技术论成败的阶段,而不是PPT美观论成败阶段.这一点,可以从这几年 银狐/R
阅读全文从0制作IDA的F5代码还原功能(hex-rays插件) 上
前言说来惭愧,鸭哥的业余时间娱乐活动一般除了 dota 外,就还剩下写代码,尤其是一些”高难度”的代码,我喜欢业余的时候打磨一下.每年给自己定个目标,比如去年是 VMP 还原的代码[2025]VMP3
阅读全文VMP源码学习(1) 变异分析与代码bug
VMP源码学习——变异分析背景:VMP在23年泄露了一份代码,尽管目前在github上代码已经大部分被删除,但也让我们有机会得以窥探一眼这款商业混淆软件的内部原理。目前,网上关于这份源码的分析“少之又
阅读全文冲鸭一周年:聊一下企业办公网终端的EDR安全运营
前言不知不觉,在安全行业干了4年整了,所以今天不聊技术,聊一下安全运营.众所周知,鸭哥在戎码负责开发EDR的同时还要负责内网运营和情报运营。如何给领导(以下都叫做客户,因为作为安全运营人员,领导就是自
阅读全文Windows的高级内存防护介绍
来自戎码高级安全研究员kanren3的投稿:背景在 Windows XP 时代以后,微软意识到了系统安全的重要性,因此逐步加强 Windows 自身的安全机制,从早期的 PatchGuard,到如今的
阅读全文Windbg TTD 还原 .NET JIT 保护壳探索
本篇是来自0x指纹的投稿,欢迎其他搞二进制技术的人来我这边投稿一起交流技术https://bin4re.github.io/blog/2025/06/12/windbg-ttd-restore-dot
阅读全文PE代码执行虚拟机详解&原理&源码
前言粉丝要求,安排!不过我不知道是PE代码虚拟执行还是指虚拟化壳的. 而且还问不了!所以先写一篇关于PE代码虚拟机的,下一篇再写一个关于虚拟化壳的,全都要。源码先丢这里,可以看着源码对着学习https
阅读全文安全开发: 联动驱动进行拦截弹窗
前言在上一章中我们实现了一个漂亮的界面并且随时能弹窗,现在让我们联动驱动的消息,实现一个简单的拦截whoami.exe启动的规则改进我们遇到的第一个问题是,CEF的弹窗是异步的,而我们需要同步拦截(你
阅读全文IDA原理入门(四): 函数参数识别
简介没看过的请看之前的第三篇。本篇是第四篇,讲述怎么计算函数参数IDA原理入门(三): 控制流追踪与CFG Blocks构建函数参数识别我们必须要知道一个事实是, 在没PDB之前,是没有一个准确的函数
阅读全文目前我见过的最强rootkit应急响应工具
在安全运营中,我们时常会遇到rootkit驱动木马,如银狐,紫狐,麻辣香锅,SDT,独狼等等。遇到了真的是 叫天天不灵,叫地地不灵. 杀毒软件全部拉闸,网上的ark 如pchutner什么的可能还不支
阅读全文免杀之LLVM PASS入门: hello world
前言五一本来想出去玩的,但是人太多了,所以来研究一下llvm pass,不得不说,这玩意是真的方便,之前写壳花了大力气都在函数识别,全局变量识别,重定位 等等上了,而pass用来做各种代码层面的事情正
阅读全文VMP3.x内部原理详解与还原思路
前言这几天在逐步把github的项目移动到gitlab里面,无意间发现了三年前写的VMP还原的项目。发现那会的思路 笔记什么的都忘记的差不多了,所以趁着现在还记得起来。赶紧写一下记录着。VMP内部让我
阅读全文从核晶入手浅谈一下syscall这块的攻防对抗
前言在hypervisor中,特别是安全软件的hv,接管syscall无非三种办法,MSR HOOK,EPT/NPT HOOK,EFER HOOK。本文来炒旧饭,对这些方法进行总结以及来说一下怎么检测
阅读全文终端安全软件开发中关于性能方面的一个坑
广告: 考虑到这篇质量很高但是那会粉丝少,阅读量低得惊人(100阅读),所以引个流:【漏洞分析】从驱动直接读写物理内存漏洞 到内存加载驱动分析几年前(3年前,才发现已经三年了),开发EDR的过程中用户
阅读全文微调deepseek让它变成网安的业务模型
警告只是个人研究,数据不涉密,并且跟公司产品无关前言前几个月一直在折腾DS的落地,不得不说,DS只需要一个极低的成本(1w以内)就能落地部署。DS出来后,就想搭建一个AI SOC用于做自动AI告警研判
阅读全文从0制作现代启发式AI杀毒引擎,附源码
前言冲鸭安全突破3000粉丝了,应该国内大半个搞安全的人都在看了.所以整个大的活.为什么突然想搞这个,因为在做国内安全业务的时候,我意识到,国内的平均技术水平还有很大的挖掘价值.很多人从事安全,可能也
阅读全文IDA原理入门(三): 控制流追踪与CFG Blocks构建
IDA原理入门(三): 控制流追踪与CFG Block构建简介没看过的请看之前的IDA背后的原理入门(一): 简介&函数识别IDA背后的原理入门(二): 函数大小计算本篇是第三篇CFG 分析的基本原理
阅读全文