Linux系统中有软链接和硬链接的概念,这篇文章详细解释他们之间的差别。
https://bhoot.dev/2024/on-linux-file-and-links/
https://bhoot.dev/2024/on-linux-file-and-links/
Linux硬链接:在进行文件备份时,硬链接能在不额外占用大量存储空间的情况下创建文件副本。因为多个硬链接指向同一个数据块,对原文件进行修改,备份的硬链接文件也能实时体现这些变化,保证数据一致性,同时删除其中一个硬链接不会影响其他链接和数据块,提高数据安全性。例如,在重要配置文件备份场景中,系统管理员可以为关键的配置文件创建多个硬链接,分布在不同目录下。当系统出现故障需要恢复配置时,只要数据块未被删除,任何一个硬链接都可用于恢复配置。
思考:如遇勒索,只要其中还有未被加密的数据块,是否可以恢复?
思考:如遇勒索,只要其中还有未被加密的数据块,是否可以恢复?
👍2
超强职场AI工具
文案创作
ChatGPT https://chatgpt.com/
Claude https://claude.ai/
Deepseek https://www.deepseek.com/
日常办公
Gamma https://gamma.app/zh-tw
RecCloud https://reccloud.com/tw/
Formulabot https://www.formulabot.com/
资料搜寻
Perplexity https://www.perplexity.ai/
Gemini https://gemini.google.com/
Bohrium https://www.dp.tech/en/product/bohrium
图片生成
Midjourney https://www.midjourney.com/
Recraft https://www.recraft.ai/
Stability.ai https://stability.ai/stable-image
文案创作
ChatGPT https://chatgpt.com/
Claude https://claude.ai/
Deepseek https://www.deepseek.com/
日常办公
Gamma https://gamma.app/zh-tw
RecCloud https://reccloud.com/tw/
Formulabot https://www.formulabot.com/
资料搜寻
Perplexity https://www.perplexity.ai/
Gemini https://gemini.google.com/
Bohrium https://www.dp.tech/en/product/bohrium
图片生成
Midjourney https://www.midjourney.com/
Recraft https://www.recraft.ai/
Stability.ai https://stability.ai/stable-image
ChatGPT
ChatGPT helps you get answers, find inspiration, and be more productive.
👍5❤1
一种高性能分布式文件系统,旨在应对 AI 训练和推理工作负载的挑战。
https://github.com/deepseek-ai/3FS
https://github.com/deepseek-ai/3FS
GitHub
GitHub - deepseek-ai/3FS: A high-performance distributed file system designed to address the challenges of AI training and inference…
A high-performance distributed file system designed to address the challenges of AI training and inference workloads. - deepseek-ai/3FS
每一轮大的技术风口并不完全是一哄而上的炒作,里面包含了一些真正的机会,值得关注和跟上。这也是为什么周刊每一次都对新技术倍加关注、积极评价的原因。
当然,赶上技术风口的前提,还是要有真才实学,能做出实打实的产品。否则,真遇到风口,你也无法脱颖而出,拿到技术炒作的红利。
当然,赶上技术风口的前提,还是要有真才实学,能做出实打实的产品。否则,真遇到风口,你也无法脱颖而出,拿到技术炒作的红利。
👍7
mshta.exe 从命令行执行原始脚本
https://github.com/SecurityAura/DE-TH-Aura/blob/main/100DaysOfKQL/Day%2080%20-%20mshta.exe%20Executing%20Raw%20Script%20From%20Command%20Line.md
https://github.com/SecurityAura/DE-TH-Aura/blob/main/100DaysOfKQL/Day%2080%20-%20mshta.exe%20Executing%20Raw%20Script%20From%20Command%20Line.md
GitHub
DE-TH-Aura/100DaysOfKQL/Day 80 - mshta.exe Executing Raw Script From Command Line.md at main · SecurityAura/DE-TH-Aura
Repository where I hold random detection and threat hunting queries that I come up with based on different sources of information (or even inspiration). - SecurityAura/DE-TH-Aura
👍1
该文章围绕Windows EDR系统调用挂钩技术与“幽灵狩猎”理论展开,介绍了EDR系统的基础组件、系统调用挂钩原理,详细阐述“幽灵狩猎”理论的实现方法、优缺点及应用场景,并规划了后续研究方向。
1. EDR系统基础组件:Sanctum EDR已搭建起基础架构,涵盖驱动与IOCTL、进程句柄及创建拦截、驱动控制、向新进程注入DLL、用户模式引擎进程监控、驱动与用户模式引擎通信、GUI和日志记录功能。
2. 系统调用挂钩原理:用户模式操作需经接口库调用系统服务号(SSN)与内核交互,恶意软件常直接调用系统调用绕过EDR检测。EDR可在用户模式挂钩相关函数,如通过改写 ZwOpenProcess 等函数指令,跳转到注入的DLL来检查参数等信息,并借助IPC与用户模式引擎、驱动通信。
3. “幽灵狩猎”理论:这是一种实验性技术,旨在对抗恶意软件利用SysWhispers、Hells Gate等手段躲避EDR挂钩。以挂钩 OpenProcess 为例,在新进程启动时注入EDR的DLL,改写系统调用存根跳转到挂钩接收函数,检查参数并与引擎通信。若内核在系统调用前已发出句柄,则判定存在系统调用逃避行为,可选择终止进程。但该方法存在需挂钩多个函数、跟踪句柄创建困难等缺点,相比 OpenProcess ,在 CreateRemoteThread API上应用该技术问题较少 。
4. 后续研究方向:下一步先实现系统调用挂钩,完成基本POC后创建内部工具简化函数挂钩流程,待挂钩正常工作后深入研究“幽灵狩猎”技术。
https://fluxsec.red/edr-syscall-hooking
1. EDR系统基础组件:Sanctum EDR已搭建起基础架构,涵盖驱动与IOCTL、进程句柄及创建拦截、驱动控制、向新进程注入DLL、用户模式引擎进程监控、驱动与用户模式引擎通信、GUI和日志记录功能。
2. 系统调用挂钩原理:用户模式操作需经接口库调用系统服务号(SSN)与内核交互,恶意软件常直接调用系统调用绕过EDR检测。EDR可在用户模式挂钩相关函数,如通过改写 ZwOpenProcess 等函数指令,跳转到注入的DLL来检查参数等信息,并借助IPC与用户模式引擎、驱动通信。
3. “幽灵狩猎”理论:这是一种实验性技术,旨在对抗恶意软件利用SysWhispers、Hells Gate等手段躲避EDR挂钩。以挂钩 OpenProcess 为例,在新进程启动时注入EDR的DLL,改写系统调用存根跳转到挂钩接收函数,检查参数并与引擎通信。若内核在系统调用前已发出句柄,则判定存在系统调用逃避行为,可选择终止进程。但该方法存在需挂钩多个函数、跟踪句柄创建困难等缺点,相比 OpenProcess ,在 CreateRemoteThread API上应用该技术问题较少 。
4. 后续研究方向:下一步先实现系统调用挂钩,完成基本POC后创建内部工具简化函数挂钩流程,待挂钩正常工作后深入研究“幽灵狩猎”技术。
https://fluxsec.red/edr-syscall-hooking
fluxsec.red
EDR Syscall Hooking and Ghost Hunting: A Deep Dive
Uncover the theory and methods behind hooking syscalls, detecting evasive malware techniques, and leveraging Ghost Hunting for robust EDR protection in Windows environments.
❤3