一种高性能分布式文件系统,旨在应对 AI 训练和推理工作负载的挑战。
https://github.com/deepseek-ai/3FS
https://github.com/deepseek-ai/3FS
GitHub
GitHub - deepseek-ai/3FS: A high-performance distributed file system designed to address the challenges of AI training and inference…
A high-performance distributed file system designed to address the challenges of AI training and inference workloads. - deepseek-ai/3FS
每一轮大的技术风口并不完全是一哄而上的炒作,里面包含了一些真正的机会,值得关注和跟上。这也是为什么周刊每一次都对新技术倍加关注、积极评价的原因。
当然,赶上技术风口的前提,还是要有真才实学,能做出实打实的产品。否则,真遇到风口,你也无法脱颖而出,拿到技术炒作的红利。
当然,赶上技术风口的前提,还是要有真才实学,能做出实打实的产品。否则,真遇到风口,你也无法脱颖而出,拿到技术炒作的红利。
👍7
mshta.exe 从命令行执行原始脚本
https://github.com/SecurityAura/DE-TH-Aura/blob/main/100DaysOfKQL/Day%2080%20-%20mshta.exe%20Executing%20Raw%20Script%20From%20Command%20Line.md
https://github.com/SecurityAura/DE-TH-Aura/blob/main/100DaysOfKQL/Day%2080%20-%20mshta.exe%20Executing%20Raw%20Script%20From%20Command%20Line.md
GitHub
DE-TH-Aura/100DaysOfKQL/Day 80 - mshta.exe Executing Raw Script From Command Line.md at main · SecurityAura/DE-TH-Aura
Repository where I hold random detection and threat hunting queries that I come up with based on different sources of information (or even inspiration). - SecurityAura/DE-TH-Aura
👍1
该文章围绕Windows EDR系统调用挂钩技术与“幽灵狩猎”理论展开,介绍了EDR系统的基础组件、系统调用挂钩原理,详细阐述“幽灵狩猎”理论的实现方法、优缺点及应用场景,并规划了后续研究方向。
1. EDR系统基础组件:Sanctum EDR已搭建起基础架构,涵盖驱动与IOCTL、进程句柄及创建拦截、驱动控制、向新进程注入DLL、用户模式引擎进程监控、驱动与用户模式引擎通信、GUI和日志记录功能。
2. 系统调用挂钩原理:用户模式操作需经接口库调用系统服务号(SSN)与内核交互,恶意软件常直接调用系统调用绕过EDR检测。EDR可在用户模式挂钩相关函数,如通过改写 ZwOpenProcess 等函数指令,跳转到注入的DLL来检查参数等信息,并借助IPC与用户模式引擎、驱动通信。
3. “幽灵狩猎”理论:这是一种实验性技术,旨在对抗恶意软件利用SysWhispers、Hells Gate等手段躲避EDR挂钩。以挂钩 OpenProcess 为例,在新进程启动时注入EDR的DLL,改写系统调用存根跳转到挂钩接收函数,检查参数并与引擎通信。若内核在系统调用前已发出句柄,则判定存在系统调用逃避行为,可选择终止进程。但该方法存在需挂钩多个函数、跟踪句柄创建困难等缺点,相比 OpenProcess ,在 CreateRemoteThread API上应用该技术问题较少 。
4. 后续研究方向:下一步先实现系统调用挂钩,完成基本POC后创建内部工具简化函数挂钩流程,待挂钩正常工作后深入研究“幽灵狩猎”技术。
https://fluxsec.red/edr-syscall-hooking
1. EDR系统基础组件:Sanctum EDR已搭建起基础架构,涵盖驱动与IOCTL、进程句柄及创建拦截、驱动控制、向新进程注入DLL、用户模式引擎进程监控、驱动与用户模式引擎通信、GUI和日志记录功能。
2. 系统调用挂钩原理:用户模式操作需经接口库调用系统服务号(SSN)与内核交互,恶意软件常直接调用系统调用绕过EDR检测。EDR可在用户模式挂钩相关函数,如通过改写 ZwOpenProcess 等函数指令,跳转到注入的DLL来检查参数等信息,并借助IPC与用户模式引擎、驱动通信。
3. “幽灵狩猎”理论:这是一种实验性技术,旨在对抗恶意软件利用SysWhispers、Hells Gate等手段躲避EDR挂钩。以挂钩 OpenProcess 为例,在新进程启动时注入EDR的DLL,改写系统调用存根跳转到挂钩接收函数,检查参数并与引擎通信。若内核在系统调用前已发出句柄,则判定存在系统调用逃避行为,可选择终止进程。但该方法存在需挂钩多个函数、跟踪句柄创建困难等缺点,相比 OpenProcess ,在 CreateRemoteThread API上应用该技术问题较少 。
4. 后续研究方向:下一步先实现系统调用挂钩,完成基本POC后创建内部工具简化函数挂钩流程,待挂钩正常工作后深入研究“幽灵狩猎”技术。
https://fluxsec.red/edr-syscall-hooking
fluxsec.red
EDR Syscall Hooking and Ghost Hunting: A Deep Dive
Uncover the theory and methods behind hooking syscalls, detecting evasive malware techniques, and leveraging Ghost Hunting for robust EDR protection in Windows environments.
❤3