Crimes against NTDLL - Implementing Early Cascade Injection 好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得仔细阅读文章，理解其主要观点。 文章主要介绍了一种名为Early Cascade Injection的技术，用于在Windows系统中注入恶意软件。这种方法通过利用NTDLL中的Shim Engine机制，在目标进程启动时注入代码，从而避免传统注入方法被检测的风险。 接下来，文章详细描述了该技术的实现步骤，分为三个阶段：Stage 0是创建一个挂起进程并注入初始代码；Stage 1是通过修改Shim Engine的全局变量来执行自定义代码；Stage 2则是加载最终的恶意软件载荷。 此外，文章还提到了如何绕过EDR检测，以及使用Rust语言实现这一过程的优势。最后，作者提供了相关的代码示例和参考资料链接。 现在，我需要将这些信息浓缩到100字以内。重点应放在技术名称、实现机制、优势以及应用范围上。同时，要确保语言简洁明了，避免使用复杂的术语。 总结一下： - 技术名称：Early Cascade Injection - 实现机制：利用NTDLL的Shim Engine，在进程启动时注入代码 - 优势：避免传统注入方式的检测风险 - 应用：用于文件less恶意软件的注入 结合这些要点，我可以写出一个简洁的总结。 </think> 文章介绍了一种名为Early Cascade Injection的技术，该技术通过利用Windows NTDLL模块中的Shim Engine机制，在目标进程启动时注入代码以执行恶意软件。这种方法避免了传统进程注入技术容易被EDR检测的问题，并且可以在不创建可疑线程或使用跨进程APC的情况下实现代码执行。... 2026-3-14 13:4:12 | 阅读: 7 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red apc stage shim pfnse injection

Starting point for simple ransomware detection 嗯，用户让我总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”之类的开头。我得先仔细读一下文章，了解主要讲了什么。 文章看起来是关于如何检测勒索软件的。作者提到了使用Windows的过滤驱动程序来拦截文件系统事件，特别是文件重命名和写入操作。他们还提到了检测特定的恶意文件扩展名，比如LockBit ransomware的扩展名.HLJkNskOq。 作者还详细讲解了如何编写这个过滤驱动程序，包括回调函数、处理IRP_MJ_SET_INFORMATION和IRP_MJ_CREATE事件等。此外，他们还提供了一个简单的POC代码示例，用Rust写了一个程序来模拟勒索软件的行为。 接下来，我需要把这些信息浓缩到100字以内。要抓住关键点：过滤驱动程序、检测文件重命名、写入操作、特定扩展名、以及POC代码示例。 可能的结构是：介绍项目目的，说明使用的技术（过滤驱动程序），检测的方法（文件重命名和写入），以及提到的具体扩展名和POC代码。 现在组织语言：文章介绍了一个项目，利用Windows过滤驱动程序检测勒索软件活动。通过拦截文件重命名和写入事件，特别是识别特定的恶意扩展名（如.HLJkNskOq），并提供了一个简单的POC代码示例来演示这一过程。 检查字数：刚好在100字左右。 </think> 文章介绍了一个利用Windows过滤驱动程序检测勒索软件活动的项目。通过拦截文件重命名和写入事件，特别是识别特定的恶意文件扩展名（如.HLJkNskOq），该方案能够有效追踪潜在的勒索软件行为，并提供了一个简单的POC代码示例来演示这一过程。... 2026-2-8 15:49:17 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red ransomware flt mj exts

Introducing System Call Integrity Layer 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章的详细内容，所以我得先通读一遍，理解主要观点。 文章主要讲的是一个叫做系统调用完整性层（SCIL）的内核子系统。这个子系统允许用户模式下的EDR（端点检测与响应）工具通过替代系统调用来监控和干预特定的系统调用。作者提出，SCIL会在系统调用暂停时，将待处理的系统调用对象（PSO）传递给EDR进行检查，确保安全。 接下来，我需要提取关键信息：SCIL的作用、它如何工作、以及它的目标。然后将这些信息浓缩成100字以内的总结，不需要使用特定的开头语。 可能遇到的问题是如何在有限的字数内涵盖所有重要点，同时保持语言简洁明了。我需要确保涵盖SCIL的功能、与EDR的交互以及其目标用途。 最后，组织语言，确保流畅自然，并且准确传达文章的核心内容。 </think> 本文提出了一种名为“系统调用完整性层”（SCIL）的内核子系统，旨在允许用户模式下的端点检测与响应（EDR）工具通过替代系统调用（Alt Syscalls）来监控和干预特定的系统调用。SCIL会在系统调用暂停时将待处理的系统调用对象（PSO）传递给EDR进行检查，从而增强系统的安全性。... 2026-1-17 14:2:19 | 阅读: 1 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red security microsoft scil windows alertable

Creating a Rust VBS Enclave DLL running in VTL1 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，理解其主要目的和内容。 文章主要讲述如何在Rust中运行代码，特别是在Windows的VBS安全 enclave（VTL1）中。作者分享了他们的经验，包括遇到的挑战和解决方法。他们提到了使用Rust构建一个安全 enclave DLL，并详细介绍了构建过程、FFI绑定、以及如何处理内存保护和证书签名等问题。 接下来，我需要提取关键点：使用Rust开发VBS enclave、内存保护机制、证书签名、以及构建过程中的注意事项。然后，将这些要点浓缩成一个简洁的总结，确保不超过100字。 最后，检查总结是否准确反映了文章内容，并且语言简洁明了。 </think> 文章介绍了如何使用Rust在Windows的VBS安全 enclave（VTL1）中运行代码，详细描述了构建过程、内存保护机制以及证书签名等步骤。... 2026-1-15 19:37:29 | 阅读: 1 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red enclave microsoft windows memory rustc

Detecting Vectored Exception Handling Squared in an EDR 文章描述了作者开发的一个实验性EDR框架Sanctum，用于检测Vectored Exception Handling Squared (VEH²)技术的滥用。该技术通过设置硬件调试寄存器来绕过安全机制。Sanctum通过检查线程上下文中的调试寄存器值来识别潜在威胁，并能够检测到恶意软件尝试绕过AMSI等安全措施的行为。... 2026-1-11 13:47:8 | 阅读: 5 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red veh memory microsoft

Vectored Exception Handling Squared 文章介绍了一种名为VEH²的技术，利用Windows的向量异常处理机制和硬件断点，在不修改内存代码的情况下绕过安全检测（如AMSI）。通过注册异常处理程序并设置调试寄存器，该技术可在目标函数执行前拦截并伪造返回值。文章以Rust实现了一个概念验证示例，并讨论了其潜在的检测风险和使用建议。... 2025-12-27 19:19:24 | 阅读: 8 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red veh hardware dr0 crowdstrike windows

Creating a framework in Wyrm C2 to easily configure custom exports of an implant Macros, machine code, and mischief!... 2025-11-23 15:19:13 | 阅读: 8 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red wyrm machine unwrap sideloading naked

Creating a local self signed certificate for localhost testing of Wyrm C2 Generating local self signed TLS certificates... 2025-11-17 19:20:46 | 阅读: 9 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red c2 wyrm userprofile rootca

Disassembly notes Just some self made notes from disassembling... 2025-11-15 08:49:11 | 阅读: 13 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red bts intrinsic 1dh 5th interacting

Using Ghidriff to look at heap buffer overflow example 嗯，用户让我总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我需要仔细阅读文章内容，理解其主要观点。 文章主要讲的是使用Ghidriff工具分析软件补丁，特别是针对rAthena框架中的一个堆缓冲区溢出漏洞（CVE-2025-58447）。作者展示了如何通过比较补丁前后的二进制文件，找出代码变化，进而理解漏洞修复的机制。 用户可能是一位网络安全爱好者或者研究人员，对逆向工程和漏洞分析感兴趣。他们希望快速了解文章的核心内容，而不需要详细的技术步骤。 所以，我需要提炼出关键点：Ghidriff工具、堆溢出漏洞、补丁分析、修复机制。然后用简洁的语言把这些点连贯起来，确保在100字以内。 可能的结构是：介绍工具和分析对象，说明分析过程和结果。这样既清晰又符合用户的要求。 </think> 文章介绍了使用Ghidriff工具分析软件补丁的过程，重点研究了rAthena框架中一个堆缓冲区溢出漏洞（CVE-2025-58447）的修复机制。通过比较补丁前后的二进制文件差异，揭示了漏洞修复的关键代码变化，并展示了如何通过代码检查防止溢出攻击。... 2025-11-2 01:49:26 | 阅读: 28 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red ghidriff software memory uvar9 0x21

Timestomping a PE compile timestamp - adversary tradecraft and detection 这篇文章介绍了多种恶意软件的威胁类型、传播方式及潜在风险。主要涉及Windows平台的勒索软件（如Lockbit、Conti）、后门程序及特洛伊木马等。这些威胁通常通过其他恶意软件或访问恶意网站传播，具有中等损害潜力和低分布风险。部分威胁可能导致信息泄露或设备锁定。... 2025-10-26 09:19:7 | 阅读: 23 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red trendmicro vinfo trojan ransomware

Improving consistency with EDR DLL Injection via APCs 好的，我现在需要帮用户总结一篇关于 Sanctum EDR 的文章，控制在100字以内。首先，我得通读整篇文章，抓住主要内容。 文章主要讲的是 Sanctum EDR 项目中使用 APC 进行进程注入的技术。作者之前使用标准进程注入，但在保护进程中遇到了困难。于是转向内核级的 APC 注入，通过壳代码调用 LdrLoadDll 加载 DLL。 接着，文章详细介绍了 APC 的机制、如何分配内存、编写壳代码以及设置两个 APC 来执行注入。还提到了一些技术挑战，比如 FFI 错误和处理权限问题。 最后，作者提到通过 IOCTL 确保 DLL 成功注入后才释放进程。整个过程展示了内核级注入的复杂性和细节。 现在，我需要将这些要点浓缩到100字以内。重点包括： Sanctum EDR 使用 APC 进行内核级注入，绕过保护机制；通过壳代码调用 LdrLoadDll；设置两个 APC 来执行；以及确保 DLL 成功加载后才释放进程。 这样总结下来应该符合用户的要求。 </think> 文章描述了 Sanctum EDR 项目中通过异步过程调用（APC）实现内核级进程注入的技术。作者最初使用用户态进程注入，但在面对受保护进程时遇到困难。通过与专家交流和研究，作者采用壳代码引导 LdrLoadDll 加载 DLL，并利用两个 APC（一个用户态、一个内核态）实现注入。该方法绕过了传统保护机制，并确保目标进程在 DLL 成功加载后继续运行。... 2025-10-12 13:16:39 | 阅读: 135 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red apc shellcode kapc usermode

Hells Hollow: A new SSDT Hooking technique 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求是直接写文章描述，不需要特定的开头。首先，我得仔细阅读用户提供的文章内容。 文章主要讨论了红队行动中的注意事项和技巧。包括法律授权、团队沟通、C2基础设施、投递器的命名和使用，以及PowerShell脚本的应用。这些都是红队在执行任务时需要考虑的关键点。 接下来，我需要将这些要点浓缩成一句话，确保涵盖所有主要内容。要注意用词简洁，避免冗长。比如，“法律授权”可以简化为“法律授权”，“C2基础设施”可以保留原样，“投递器的命名和使用”可以合并为“投递器的命名与使用”。 最后，组合这些关键词，形成一个连贯的句子，确保不超过100字。可能的结构是：“文章探讨了红队行动中的法律授权、团队沟通、C2基础设施、投递器的命名与使用及PowerShell脚本应用等关键点。” 检查一下字数是否符合要求，并确保没有遗漏重要信息。这样用户就能快速了解文章的核心内容了。 </think> 文章探讨了红队行动中的法律授权、团队沟通、C2基础设施、投递器的命名与使用及PowerShell脚本应用等关键点。... 2025-10-12 10:46:56 | 阅读: 132 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red powershell forked cheat cobalt redirectors

Hells Hollow: A new SSDT Hooking technique 文章介绍了一种名为“Hells Hollow”的技术，利用Windows内核中的Alt Syscalls机制实现系统调用拦截与修改。该技术可绕过PatchGuard和HyperGuard保护，允许恶意软件控制操作系统行为。通过修改KTRAP_FRAME结构体，攻击者可隐藏文件、进程、网络流量或干扰ETW日志记录等。该方法仅适用于Windows 11，并展示了具体代码实现与实验结果。... 2025-7-28 19:33:1 | 阅读: 55 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red etw ktrap hells trap hollow

Inside DCHSpy: Analysing Iranian APT MuddyWater free VPN mobile spyware MuddyWater伪装成免费Comodo VPN分发间谍软件DCHSpy，窃取用户联系人、消息等数据；开发者失误暴露个人信息及开发路径。... 2025-7-21 21:32:40 | 阅读: 31 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red comodo spyware stealer apk hossein