Vectored Exception Handling Squared 文章介绍了一种名为VEH²的技术，利用Windows的向量异常处理机制和硬件断点，在不修改内存代码的情况下绕过安全检测（如AMSI）。通过注册异常处理程序并设置调试寄存器，该技术可在目标函数执行前拦截并伪造返回值。文章以Rust实现了一个概念验证示例，并讨论了其潜在的检测风险和使用建议。... 2025-12-27 19:19:24 | 阅读: 5 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red veh hardware dr0 crowdstrike windows

Creating a framework in Wyrm C2 to easily configure custom exports of an implant Macros, machine code, and mischief!... 2025-11-23 15:19:13 | 阅读: 8 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red wyrm machine unwrap sideloading naked

Creating a local self signed certificate for localhost testing of Wyrm C2 Generating local self signed TLS certificates... 2025-11-17 19:20:46 | 阅读: 8 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red c2 wyrm userprofile rootca

Disassembly notes Just some self made notes from disassembling... 2025-11-15 08:49:11 | 阅读: 13 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red bts intrinsic 1dh 5th interacting

Using Ghidriff to look at heap buffer overflow example 嗯，用户让我总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我需要仔细阅读文章内容，理解其主要观点。 文章主要讲的是使用Ghidriff工具分析软件补丁，特别是针对rAthena框架中的一个堆缓冲区溢出漏洞（CVE-2025-58447）。作者展示了如何通过比较补丁前后的二进制文件，找出代码变化，进而理解漏洞修复的机制。 用户可能是一位网络安全爱好者或者研究人员，对逆向工程和漏洞分析感兴趣。他们希望快速了解文章的核心内容，而不需要详细的技术步骤。 所以，我需要提炼出关键点：Ghidriff工具、堆溢出漏洞、补丁分析、修复机制。然后用简洁的语言把这些点连贯起来，确保在100字以内。 可能的结构是：介绍工具和分析对象，说明分析过程和结果。这样既清晰又符合用户的要求。 </think> 文章介绍了使用Ghidriff工具分析软件补丁的过程，重点研究了rAthena框架中一个堆缓冲区溢出漏洞（CVE-2025-58447）的修复机制。通过比较补丁前后的二进制文件差异，揭示了漏洞修复的关键代码变化，并展示了如何通过代码检查防止溢出攻击。... 2025-11-2 01:49:26 | 阅读: 27 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red ghidriff software memory uvar9 0x21

Timestomping a PE compile timestamp - adversary tradecraft and detection 这篇文章介绍了多种恶意软件的威胁类型、传播方式及潜在风险。主要涉及Windows平台的勒索软件（如Lockbit、Conti）、后门程序及特洛伊木马等。这些威胁通常通过其他恶意软件或访问恶意网站传播，具有中等损害潜力和低分布风险。部分威胁可能导致信息泄露或设备锁定。... 2025-10-26 09:19:7 | 阅读: 20 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red trendmicro vinfo trojan ransomware

Improving consistency with EDR DLL Injection via APCs 好的，我现在需要帮用户总结一篇关于 Sanctum EDR 的文章，控制在100字以内。首先，我得通读整篇文章，抓住主要内容。 文章主要讲的是 Sanctum EDR 项目中使用 APC 进行进程注入的技术。作者之前使用标准进程注入，但在保护进程中遇到了困难。于是转向内核级的 APC 注入，通过壳代码调用 LdrLoadDll 加载 DLL。 接着，文章详细介绍了 APC 的机制、如何分配内存、编写壳代码以及设置两个 APC 来执行注入。还提到了一些技术挑战，比如 FFI 错误和处理权限问题。 最后，作者提到通过 IOCTL 确保 DLL 成功注入后才释放进程。整个过程展示了内核级注入的复杂性和细节。 现在，我需要将这些要点浓缩到100字以内。重点包括： Sanctum EDR 使用 APC 进行内核级注入，绕过保护机制；通过壳代码调用 LdrLoadDll；设置两个 APC 来执行；以及确保 DLL 成功加载后才释放进程。 这样总结下来应该符合用户的要求。 </think> 文章描述了 Sanctum EDR 项目中通过异步过程调用（APC）实现内核级进程注入的技术。作者最初使用用户态进程注入，但在面对受保护进程时遇到困难。通过与专家交流和研究，作者采用壳代码引导 LdrLoadDll 加载 DLL，并利用两个 APC（一个用户态、一个内核态）实现注入。该方法绕过了传统保护机制，并确保目标进程在 DLL 成功加载后继续运行。... 2025-10-12 13:16:39 | 阅读: 135 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red apc shellcode kapc usermode

Hells Hollow: A new SSDT Hooking technique 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求是直接写文章描述，不需要特定的开头。首先，我得仔细阅读用户提供的文章内容。 文章主要讨论了红队行动中的注意事项和技巧。包括法律授权、团队沟通、C2基础设施、投递器的命名和使用，以及PowerShell脚本的应用。这些都是红队在执行任务时需要考虑的关键点。 接下来，我需要将这些要点浓缩成一句话，确保涵盖所有主要内容。要注意用词简洁，避免冗长。比如，“法律授权”可以简化为“法律授权”，“C2基础设施”可以保留原样，“投递器的命名和使用”可以合并为“投递器的命名与使用”。 最后，组合这些关键词，形成一个连贯的句子，确保不超过100字。可能的结构是：“文章探讨了红队行动中的法律授权、团队沟通、C2基础设施、投递器的命名与使用及PowerShell脚本应用等关键点。” 检查一下字数是否符合要求，并确保没有遗漏重要信息。这样用户就能快速了解文章的核心内容了。 </think> 文章探讨了红队行动中的法律授权、团队沟通、C2基础设施、投递器的命名与使用及PowerShell脚本应用等关键点。... 2025-10-12 10:46:56 | 阅读: 131 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red powershell forked cheat cobalt redirectors

Hells Hollow: A new SSDT Hooking technique 文章介绍了一种名为“Hells Hollow”的技术，利用Windows内核中的Alt Syscalls机制实现系统调用拦截与修改。该技术可绕过PatchGuard和HyperGuard保护，允许恶意软件控制操作系统行为。通过修改KTRAP_FRAME结构体，攻击者可隐藏文件、进程、网络流量或干扰ETW日志记录等。该方法仅适用于Windows 11，并展示了具体代码实现与实验结果。... 2025-7-28 19:33:1 | 阅读: 53 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red etw ktrap hells trap hollow

Inside DCHSpy: Analysing Iranian APT MuddyWater free VPN mobile spyware MuddyWater伪装成免费Comodo VPN分发间谍软件DCHSpy，窃取用户联系人、消息等数据；开发者失误暴露个人信息及开发路径。... 2025-7-21 21:32:40 | 阅读: 31 | 收藏 | Over Security - Cybersecurity news aggregator - fluxsec.red comodo spyware stealer apk hossein