先知技术社区

前言上文中我们讲述了直接系统调用技术，它可以不使用ntdll中的Syscall（系统调用）指令，自己在代码中实现、用以绕过针对ntdll中函数的hook，特点是Syscall指令在程序自身的内存空间中，而不是ntdll的内存空间中，由此，AV/EDR也有了相应的检测机制，如果发现Syscall指令不在ntdll内存空间中，则将其视为可疑的IoC，攻击者为了消除这个IoC，间接系统调用技术在此背景下

前言越来越多的安全厂商实现了用户模式Hook，简单说就是恶意软件使用Windows API时，被安全厂商重定向到它自己的Hooking.dll，然后进一步分析，如果研判代码没有恶意行为则放行，如果研判代码有恶意行为则拦截，这促使攻击者使用了新的技术，例如Unhooking、直接系统调用、间接系统调用、等等本文主要介绍直接系统调用，并介绍如何在Visual Studio中通过C++创建一个使用直接系

本文深入探讨四种主流C2通信协议的技术实现与流量伪装策略，涵盖HTTPS加密传输、mTLS双向认证、WebSocket全双工通信及DNS隧道隐蔽控制，结合Go语言实例分析其对抗检测机制。

加密算法逆向分析

本文主要讨论了CodeQL在Java项目通过自定义isBarrier规则来净化某些数据类型，从而减少误报。 还介绍了提取Spring框架中Controller方法的URL路径。

继CVE-30065和46762之后升级到Apache Parquet 1.15.2版本，如果存在"specific" 或 "reflect" 模型读取Parquet 文件的代码，仍然存在危险。

PowerJob IDOR 0Day 挖掘

攻防演练

深入剖析线程池睡眠混淆与扫描器的工作机制，规避对应的检测

Perimeter Leak题目描述After weeks of exploits and privilege escalation you've gained access to what you hope is the final server that you can then use to extract out the secret flag from an S3 bucket.It w

本文分析了Cobalt Strike的execute-assembly功能以及在Beacon中重构此功能

聚智网安·筑梦黄鹤 - 发掘网络安全实战型人才，促进创新成果转化

钓鱼样本分析、免杀思路分享

前言2025-09-24 用友又又又发布了一个漏洞 关于U8cloud所有版本NCCloudGatewayServlet接口存在命令执行漏洞的安全公告 这次又是全版本的漏洞但是，我觉得这也可以是文件上传漏洞，往下看吧。https://security.yonyou.com/#/noticeInfo?id=736来来来现热乎的，我们先去分析一波看，官方说的升级补丁升级补丁<U8CLOUD系统

一句话背景：病毒通过某网页人机验证诱导执行恶意文件

Go语言作为云原生时代的主流编程语言，其应用范围已覆盖容器编排、微服务架构、区块链平台等关键基础设施。随着Go项目在生产环境中的广泛部署，针对Go代码的安全测试需求愈发迫切。传统的AFL、libFuzzer等模糊测试工具主要针对C/C++项目设计，无法直接应用于Go语言生态。 本文系统分析Go语言模糊测试的技术演进路径，从第三方工具go-fuzz到官方工具链go test -fuzz的完整技术方

libFuzzer在大规模生产环境应用中面临语料库膨胀、并行化效果不佳、字典策略难维护等工程化挑战。本文针对这些核心问题，提供系统性的高级优化方案：深入分析语料库精细化管理策略，包括智能合并和分级存储；阐述高效并行化方法，通过Jobs模式、Fork模式实现资源协作；介绍分层字典设计和动态生成技术；探讨基于SanitizerCoverage的深度覆盖率分析方法。 通过OpenSSL Heartbl

模糊测试作为自动化漏洞发现的核心技术，已成为现代软件安全测试的重要组成部分。libFuzzer作为LLVM生态中的代表性工具，凭借其覆盖率驱动的智能变异策略和易于集成的特性，广泛应用于各类软件项目的安全测试中 本文从模糊测试的基本原理出发，系统介绍libFuzzer的核心概念、环境配置、实战应用和调试技巧。通过具体的代码示例和实战案例，帮助读者掌握libFuzzer的基础使用方法，建立完整的模糊

edu系统一直是安全测试的热门目标，系统多、漏洞类型丰富，而且开发者通常更关注功能实现，安全防护相对薄弱。本文分享三个真实的漏洞案例

listener_gophertcp通信机制与流量解密分析