爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

堆利用之House Of Spirit

# House of Spirit 堆利用技术详解 ## 1. 技术概述 House of Spirit 是一种基于 fastbin 机制缺陷的堆利用技术。其核心思想是通过伪造 chunk 并将其放入 fastbin，然后申请出这个伪造的 chunk，从而实现对指定内存区域的劫持。 ## 2. 伪造 chunk 的条件要成功实施 House of Spirit 攻击，伪造的 chunk 必须满足以下条件： 1. **ISMMAP 位**：不能为 1，因为如果是 mmap 分配的 ch

2025-08-22 19:59:26

格式化字符串漏洞利用之内存泄露与覆盖

# 格式化字符串漏洞利用：内存泄露与覆盖 ## 1. 格式化字符串漏洞概述格式化字符串漏洞是一种严重的安全漏洞，当攻击者能够控制格式化字符串函数的输入时，可以利用特殊的格式化占位符来读取或修改内存中的数据。这种漏洞可能导致未授权的内存读取、内存泄漏甚至远程代码执行。 ### 漏洞原理格式化字符串函数（如printf、sprintf等）的参数中包含格式化占位符（如%s、%d等），用于指定输出变量的类型和格式。当攻击者能够控制格式化字符串的输入时，可以使用特殊的格式化占位符来： 1.

2025-08-22 19:58:13

【翻译】使用 Windows API 行为检测键盘记录程序,保护您的设备免受信息盗窃

# Windows API 行为检测键盘记录程序教学文档 ## 1. 键盘记录程序概述键盘记录程序是一种监视和记录计算机上键入按键的软件，主要分为两类： - 合法用途：如用户监控 - 恶意用途：窃取敏感信息（身份验证凭证、信用卡信息等） ### 主要风险 - 信息盗窃 - 作为进一步网络攻击的垫脚石 - 常见于RAT、信息窃取器和银行恶意软件中 ## 2. Windows键盘记录技术分类 ### 2.1 轮询键盘记录器 - **原理**：以极短时间间隔轮询检查每个键的状态 - **关

2025-08-22 19:56:25

【翻译】威胁狩猎：福昕 PDF“设计缺陷”被大规模利用

# Foxit PDF Reader设计缺陷威胁狩猎技术分析 ## 1. 漏洞概述 ### 1.1 漏洞本质 Foxit PDF Reader中存在一个设计缺陷，允许攻击者通过精心构造的PDF文件诱使用户执行恶意命令。该漏洞并非传统意义上的代码执行漏洞，而是一种利用用户界面设计缺陷和用户习惯的社会工程学攻击。 ### 1.2 影响范围 - 影响软件：Foxit PDF Reader - 受影响用户：全球超过7亿用户，包括美国政府机构(空军、陆军、海军和导弹防御部)和大型科技公司(Googl

2025-08-22 19:45:16

【翻译】威胁狩猎：国内威胁行为者的新后门Noodle RAT

# Noodle RAT 恶意软件分析与防御指南 ## 1. Noodle RAT 概述 Noodle RAT（又称ANGRYREBEL或Nood RAT）是一种跨平台后门恶意软件，存在Windows（Win.NOODLERAT）和Linux（Linux.NOODLERAT）两个版本。该恶意软件自2016年起活跃，但长期被错误归类为Gh0st RAT或Rekoobe等已知恶意软件的变种。 ### 1.1 历史时间线 - **2016年7月**：Windows版本v1.0.0编译 - **2

2025-08-22 19:43:48

动态逃逸杀软的艺术

# 动态逃逸杀软技术全面指南 ## 1. 流量规避技术 ### 1.1 Cobalt Strike Profile修改 - **问题分析**：默认jquery流量已被杀软标记，HTTPS监听对杀软无效（杀软可解密HTTPS） - **关键修改点**： - 修改http-get部分：metadata使用base64url编码，header指定Cookie头 - 修改http-post部分：任务结果经过mask加密和base64url编码 - 模拟合法流量（如B站流量）替代可疑的静

2025-08-22 19:42:25

【翻译】针对广泛的基于NSIS的恶意软件家族的分析

# 基于NSIS的恶意软件家族分析与静态解包技术 ## 0X00 前言恶意软件加壳器(Packers/crypters)是网络犯罪分子广泛使用的工具，用于保护恶意代码免遭检测和静态分析。这些工具通过压缩和加密算法，使攻击者能够为每个活动甚至每个受害者生成独特的恶意软件样本，显著增加了杀毒软件的检测难度。在某些情况下，不使用动态分析就对恶意软件进行分类变得极具挑战性。 ## 0X01 NSIXloader：基于NSIS的壳 NSIS(Nullsoft Scriptable Install

2025-08-22 19:40:23

[翻译]木马病毒和EDR的一些Bypass思路

# EDR与防病毒软件绕过技术详解 ## 1. EDR/防病毒软件工作原理 ### 1.1 检测技术概述现代安全解决方案采用多层检测机制： 1. **签名检测**：通过哈希值(SHA-256等)匹配已知恶意软件 2. **静态分析**：扫描程序中的可疑字符串和模式 3. **启发式/行为检测**：通过沙盒观察程序行为 4. **IAT检查**：分析导入函数表寻找可疑组合 5. **AMSI**：反恶意软件扫描接口实时检测 6. **ETW**：Windows事件跟踪收集行为数据 7.

2025-08-22 19:38:42

【翻译】从设置字符集到RCE：利用 GLIBC 攻击 PHP 引擎（篇二）

# 利用GLIBC缓冲区溢出漏洞攻击PHP引擎（篇二）教学文档 ## 漏洞概述本教学文档详细分析了一个存在于GLIBC中长达24年的缓冲区溢出漏洞（CVE-2024-2961）在PHP引擎中的利用方法。该漏洞虽然存在于多个常见库中，但在PHP环境中特别容易被利用。 ## 漏洞背景 ### 漏洞特性 - 存在于GLIBC的iconv字符集转换功能中 - 是一个缓冲区溢出漏洞 - 需要特定字符集转换才能触发（如UTF-8到ISO-2022-CN-EXT） - 最多只能写入3个字节到边界外

2025-08-22 19:37:30

用一个软件学习多姿势绕过

# 软件验证绕过技术研究与实践 ## 免责声明本教学文档仅用于技术研究交流，旨在探讨软件测试与网页测试的异同点。所有技术不得用于非法牟利或传播。使用者需自行承担可能造成的一切法律责任，作者概不负责。 ## 1. 初步分析 ### 1.1 字符串搜索技术使用IDA加载目标软件后，在字符串页面搜索关键字段： - `subscription` - `trial` - `days` - `license` 发现关键字符串`setTrialLength:`，推测与试用期长度相关。 ###

2025-08-22 19:36:39

回炉重修之house of cat 带源码调试寻io

# House of Cat 利用技术详解 ## 一、利用条件 1. **内存写入能力**： - 能够任意写入一个可控地址（如通过 largebin attack） 2. **地址泄露**： - 能够泄露 libc 地址和 heap 地址 3. **IO流触发能力**（满足以下任意一种）： - 调用 exit 或从 main 函数退出 - 调用 puts、printf 等函数 - 触发 `__malloc_assert` ## 二、IO 调用链

2025-08-22 19:35:36

回炉重修之house of storm 源码分析和调试

# House of Storm 攻击技术详解 ## 1. 原理概述 House of Storm 是一种结合了 unsorted bin attack 和 Largebin attack 的高级堆利用技术，能够在特定条件下实现任意地址写。该技术主要针对 glibc 版本低于 2.30 的系统，因为 2.30 之后加入了安全检查机制。 ## 2. 利用条件要成功实施 House of Storm 攻击，需要满足以下条件： 1. **glibc 版本**：必须小于 2.30（因为 2.

2025-08-22 19:34:38

跳转到页