[toC] 核心模块组件介绍 可以在公众号获取原文，目前网站不支持mermaid，可公众号下载原始PDF!!! HPSocket使用的公开技术，基于于 IOCP/EPOLL 通信模型，结合内存池、私有堆等技术，实现高效的内存管理，支持大规模、高并发的通信场景。Git地址：https://github.com/ldcsaa/HP-Socket shellcode： 在 ntdll_en

调用栈调用栈是EDR产品一个被低估但通常重要的遥测数据源。它们可以为事件提供重要的上下文，并在确定误报和真正阳性（尤其是在凭证盗窃事件，例如对lsass的句柄访问）方面成为一个极其强大的工具。已经有一些公开的研究关于伪造调用栈（最著名的是ThreadStackSpoofer和Ekko），但这些研究似乎主要集中在从AV/EDR检测中隐藏睡眠线程的调用栈（例如，用于Cobalt Strike

目录[toc] 介绍攻击者可以劫持进程环境块 （PEB） 中的内核回调表，以重定向进程的执行流，从而使他们能够执行恶意负载。此方法允许攻击者通过将合法函数指针替换为恶意函数指针（通常由 Windows 消息触发）来保持持久性。 这种方法被 MITRE 认定为劫持执行流程和持久性技术，已被 FinFisher/FinSpy 和 Lazarus 等威胁组织使用。 在这篇博客中，我们将探讨

前言 Russian GRU: 主要情报局（俄罗斯军队） Russian SVR: 俄罗斯联邦外国情报局 Russian FSB: 俄罗斯联邦安全局 技战术远程监控和管理（RMM）工具 提示 RMM（远程监控和管理）工具是 IT 专业人员和托管服务提供商 （MSP） 用来远程监控、管理和维护 IT 系统、网络和设备的一种软件。 这些工具旨在提高 IT 运营效率，使技术人员能够从集中位置处理任务

UAC：用户账户控制（以前称为 LUA - 受限用户账户）简单提供一些背景知识，UAC（用户账户控制）是 Windows 中的一种提权机制，当某个操作需要管理权限时，它会触发一个同意提示。这个同意提示旨在通过要求管理员批准来强制实行权限分离。虽然它为防止未经授权的操作系统更改增加一层安全保障，但事实证明它的设计充满了漏洞。有很多已知的方法可以绕过 UAC，并在没有用户交互提供的任何提示或同意的情况

《Windows 内核中的流漏洞——代理到内核——第二部分在之前的一篇研究中，我们在内核流中发现了多个漏洞以及一个被忽视的漏洞类别。我们在 2024 年温哥华 Pwn2Own 大赛中成功利用漏洞 CVE-2024-35250 和 CVE-2024-30084 攻陷了 Windows 11。 在本文中，我们将继续探索这个攻击面和漏洞类别，揭示另一个漏洞和利用技术，该技术也在 HEXACON 2024

前言在过去的几十年中，Windows内核的漏洞层出不穷，热门的攻击面逐渐从Win32k慢慢转移到CLFS（通用日志文件系统）上。微软也持续且积极地修补这些漏洞，使得这些组件越来越安全。那么下一个热门的目标会是哪个组件呢？从去年开始，MSKSSRV（Microsoft内核流服务）成为黑客喜爱的目标之一。这个驱动程序小到可以在几天内完成分析。这是否意味着可能不太会有新的漏洞了呢？ 在这篇文章基于de