技术报告 – 第5页 – 奇安信技术研究院

Rust逆向入门：从反编译视角学习内存模型

技术报告Rust, 反编译, 逆向入门 2024年7月25日2024年7月25日

本文旨在学习Rust基本内存数据结构及其内存布局，并且通过反编译视角理解Rust编译器到底做了什么事。

【天穹】HVV专题：谁是”李鬼”-银狐组织的攻击活动分析

技术报告反沙箱, 沙箱, 灰黑产, 银狐 2024年7月17日2024年7月29日

近日，天穹沙箱团队捕获了一个名为“查找.exe”的样本，经过初步分析，因其采用了阿里云CDN分发流量，恰逢国内HVV行动期间，很容易被误判为典型的HVV攻击样本。然而，经过深度剖析，我们揭露了其真实面目——这是由狡猾的“银狐”组织特制的恶意木马，专门设计用于在HVV行动中隐匿传播。本次我们以该样本为案例，向大家展示如何利用天穹沙箱开展自动化样本分析，如何理解天穹沙箱的分析结果报告。

Python Web内存马多框架植入技术详解

技术报告Python, 内存马 2024年7月12日

本文将针对Flask、Tornado与Django三个在日常开发中使用频率较高的框架，探寻在Python Web场景下的内存马种植方法，文中所有场景均为抽象出的理想场景，仅做可行性讨论。

【天穹】双剑合璧：PowerShell反混淆 & 大模型解读

技术报告PowerShell, Windows, 人工智能, 代码解读, 反混淆, 大模型 2024年7月8日2024年7月8日

近年来，PowerShell频繁出现在各种网络攻击事件中，在高级持续攻击、勒索软件、网络钓鱼、加密劫持等攻击行为中都有利用到PowerShell。该脚本语言的动态特性使其能够轻易地被混淆处理，混淆手法之多使得脚本内容不仅能够绕过杀毒软件的检测查杀，也增加了恶意行为分析工作的难度。

以CVE-2024-26229为例分析Windows RDBSS机制

技术报告RDBSS, 漏洞分析 2024年7月4日2024年7月4日

本文以CVE-2024-26229为例分析Windows RDBSS机制，希望通过本文的介绍可以让读者熟悉rdbss驱动的相关机制，从而更容易挖掘使用rdbss机制相关驱动的漏洞。

macOS-XNU内核中FlowDivert协议漏洞分析

技术报告macOS, 漏洞分析 2024年7月4日2024年7月4日

Flow Divert 协议在 macOS 中提供了强大的流量管理和重定向功能，广泛应用于 VPN 和其他高级网络控制场景。通过内核扩展和用户态守护进程的协同工作，Flow Divert 允许系统和应用程序动态管理网络流量，增强安全性、隐私保护和网络性能。本文旨在分析FlowDivert模块内出现的历史的漏洞以及引入的新代码所引发的漏洞存在。