小刀志

“看见”的能力始终伴随着“不看见”的能力，正如“太极”的两部分。什么是看见？看见一片大海、一片星空、一片沙漠，是看见吗？正是由于有选择的不看见的能力，忽略过滤排除筛选，去除大量无效信息，才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。 本文由我在互联网安全大会 ISC 2022 分论坛“以对手为目标的威胁防御——安全情报与高级威胁论坛”中的分享《基于海量样本数据的高级威胁发现》整理而成，内容有所改动。这次分享主要从 4 个方面呈现，分别是：严峻的网络威胁形势、恶意行为自动化检测技术、海量样本数据运营、情报生产和高级威胁发现。 ![基于海量样本数据的高级威胁发现][1] 严峻的网络威胁形势 随着互联网和信息技术的高速发展，各行各业各领域都在加快实现信息化升级，互联网技术与大众生活产生越来越密切的联系，但与此同时，网络攻击的数量和影响在过去十几年中急剧增加，网络威胁的阴霾始终笼罩在网络空间的上空。 2022 年 5 月互联网网络安全状况主要数据 CNCERT 在今年五月总第 137 期的《互联网安全威胁报告》中指出： 境内感染木马或僵尸网络恶意程序的受控主机 IP 地址数量约为 4...

“看见”的能力始终伴随着“不看见”的能力，正如“太极”的两部分。什么是看见？看见一片大海、一片星空、一片沙漠，是看见吗？正是由于有选择的不看见的能力，忽略过滤排除筛选，去除大量无效信息，才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。 本文由我在互联网安全大会 ISC 2022 分论坛“以对手为目标的威胁防御——安全情报与高级威胁论坛”中的分享《基于海量样本数据的高级威胁发现》整理而成，内容有所改动。这次分享主要从 4 个方面呈现，分别是：严峻的网络威胁形势、恶意行为自动化检测技术、海量样本数据运营、情报生产和高级威胁发现。 ![基于海量样本数据的高级威胁发现][1] 严峻的网络威胁形...

前面的文章分析了 CVE-2016-0165 整数上溢漏洞，这篇文章继续分析另一个同样发生在 GDI 子系统的一个整数向上溢出漏洞（在分析此漏洞时，误以为此漏洞是 MS17-017 公告中的 CVE-2017-0101 漏洞，近期根据 @MJ 的提醒，发现此漏洞不是 CVE-2017-0101 而可能是 CVE-2017-0102 或其他在此公告中隐性修复的漏洞，在此更正，并向给各位读者带来的误导致歉）。分析的环境是 Windows 7 x86 SP1 基础环境的虚拟机，配置 1.5GB 的内存。

前面的文章分析了 CVE-2016-0165 整数上溢漏洞，这篇文章继续分析另一个同样发生在 GDI 子系统的一个整数向上溢出漏洞（在分析此漏洞时，误以为此漏洞是 MS17-017 公告中的 CVE-2017-0101 漏洞，近期根据 @MJ 的提醒，发现此漏洞不是 CVE-2017-0101 而可能是 CVE-2017-0102 或其他在此公告中隐性修复的漏洞，在此更正，并向给各位读者带来的误导致歉）。分析的环境是 Windows 7 x86 SP1 基础环境的虚拟机，配置 1.5GB 的内存。

翻译自英文文章：《Enriching Threat Intelligence Platforms Capabilities》。文章讲述一个丰富化的威胁情报平台的实现思路，以扩展当前 TIP 中的导入、质量评估过程和信息共享功能。原文链接在文后可见。

翻译自英文文章：《Enriching Threat Intelligence Platforms Capabilities》。文章讲述一个丰富化的威胁情报平台的实现思路，以扩展当前 TIP 中的导入、质量评估过程和信息共享功能。原文链接在文后可见。

这篇文章通过一次在 Windows XP 和 Windows 7 操作系统内核中分别调用同一个 NtUserXxx 系统调用产生不同现象的问题，对其做了简单分析。

近期在研究和开发基于虚拟化的虚拟 HOOK 技术。在 Windows 7 x64 环境开发实测期间，发现针对 NtCreateThreadEx 函数的 HOOK 存在问题：该函数大部分情况下变得只返回 0xC00000F2 (STATUSINVALIDPARAMETER4) 第 4 个参数无效的状态码。这导致系统出现很多问题，大部分的新线程都无法成功创建。为了解决这个问题，在这篇文章中对问题进行追溯，查找到底是哪里导致的。

这篇文章通过一次在 Windows XP 和 Windows 7 操作系统内核中分别调用同一个 NtUserXxx 系统调用产生不同现象的问题，对其做了简单分析。

近期在研究和开发基于虚拟化的虚拟 HOOK 技术。在 Windows 7 x64 环境开发实测期间，发现针对 NtCreateThreadEx 函数的 HOOK 存在问题：该函数大部分情况下变得只返回 0xC00000F2 (STATUSINVALIDPARAMETER4) 第 4 个参数无效的状态码。这导致系统出现很多问题，大部分的新线程都无法成功创建。为了解决这个问题，在这篇文章中对问题进行追溯，查找到底是哪里导致的。

This article will analyze a UAF vulnerability in win32k Window Manager (User) Subsystem in Windows: CVE-2015-2546. Similar to CVE-2017-0263 analyzed in the previous article, this vulnerability is use-after-free of popup menu tagPOPUPMENU object as well. The analyzing environment is Windows 7 x86 SP1 basic virtual machine.

This article will analyze a UAF vulnerability in win32k Window Manager (User) Subsystem in Windows: CVE-2015-2546. Similar to CVE-2017-0263 analyzed in the previous article, this vulnerability is use-after-free of popup menu tagPOPUPMENU object as well. The analyzing environment is Windows 7 x86 SP1...

CVE-2017-0263 是 Windows 操作系统 win32k 内核模块菜单管理组件中的一个 UAF（释放后重用）漏洞，据报道称该漏洞在之前与一个 EPS 漏洞被 APT28 组织组合攻击用来干涉法国大选。这篇文章将对用于这次攻击的样本的 CVE-2017-0263 漏洞部分进行一次简单的分析，以整理出该漏洞利用的运作原理和基本思路，并对 Windows 窗口管理器子系统的菜单管理组件进行简单的探究。分析的环境是 Windows 7 x86 SP1 基础环境的虚拟机。

CVE-2017-0263 is a UAF vulnerability in Menu Management Component in win32k kernel module of Windows operating system, which was reported to be used to attack with an EPS vulnerability to interfere the French election. This article will simply analyze the CVE-2017-0263 part of the attacking sample in order to come up with the operation principle and basic exploiting idea of this vulnerability, and make a brief investigation into the Menu Management Component of Windows Window Manager Subsystem. ...

CVE-2017-0263 是 Windows 操作系统 win32k 内核模块菜单管理组件中的一个 UAF（释放后重用）漏洞，据报道称该漏洞在之前与一个 EPS 漏洞被 APT28 组织组合攻击用来干涉法国大选。这篇文章将对用于这次攻击的样本的 CVE-2017-0263 漏洞部分进行一次简单的分析，以整理出该漏洞利用的运作原理和基本思路，并对 Windows 窗口管理器子系统的菜单管理组件进行简单的探究。分析的环境是 Windows 7 x86 SP1 基础环境的虚拟机。

CVE-2017-0263 is a UAF vulnerability in Menu Management Component in win32k kernel module of Windows operating system, which was reported to be used to attack with an EPS vulnerability to interfere the French election. This article will simply analyze the CVE-2017-0263 part of the attacking sample i...

本文将对 CVE-2016-0165 (MS16-039) 漏洞进行一次简单的分析，并尝试构造其漏洞利用和内核提权验证代码，以及实现对应利用样本的检测逻辑。分析环境为 Windows 7 x86 SP1 基础环境的虚拟机，配置 1.5GB 的内存。

本文将对 CVE-2016-0165 (MS16-039) 漏洞进行一次简单的分析，并尝试构造其漏洞利用和内核提权验证代码，以及实现对应利用样本的检测逻辑。分析环境为 Windows 7 x86 SP1 基础环境的虚拟机，配置 1.5GB 的内存。

在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后，驱动中调用的一些系统回调函数（如 ObRegisterCallbacks，可用来监控系统中对进线程句柄的操作，如打开进程、复制线程句柄等）等 API 中会通过 MmVerifyCallbackFunction 函数对该驱动程序进行完整性检查，检测未通过则会返回 0xC0000022 拒绝访问的返回值。在这篇文章中将会对这个函数进行简单的分析，以明确其原理。

在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后，驱动中调用的一些系统回调函数（如 ObRegisterCallbacks，可用来监控系统中对进线程句柄的操作，如打开进程、复制线程句柄等）等 API 中会通过 MmVerifyCallbackFunction 函数对该驱动程序进行完整性检查，检测未通过则会返回 0xC0000022 拒绝访问的返回值。在这篇文章中将会对这个函数进行简单的分析，以明确其原理。