【天穹】压缩包也能“越狱”?天穹沙箱新增目录穿越检测能力
在 Windows 系统中,压缩包(如 RAR、ZIP、7z 等)作为常见的文件分发载体,因其便捷性和通用性被广泛使用。然而,攻击者常利用压缩软件的目录穿越漏洞(如 CVE-2025-8088),通过构造恶意压缩包将恶意载荷写入系统关键路径(如启动项、系统目录等),实现持久化驻留或提权执行。此类攻击隐蔽性强、危害大,且传统静态检测难以有效识别。
Windows
【天穹】天穹沙箱推出Shellcode模拟执行功能
在信息安全领域,Shellcode以其小巧、简洁、独立等特性,常被作为漏洞利用的功能载荷插入到系统或某些程序中实现攻击者的意图,如获取系统控制权、下载并执行恶意软件、创建后门或发送数据等。因此,检测和分析Shellcode是信息安全防护的重要环节。为了能够智能化分析Shellcode,天穹沙箱推出了Shellcode模拟执行功能,该功能能够模拟执行各种Shellcode,捕获执行过程中的关键行为,包括内存操作、系统调用、网络活动等,并深入分析其行为和特征,生成详细的分析报告,帮助安全研究人员更好地理解和识别潜在的恶意代码。
【天穹】天穹沙箱推出全新脚本执行追踪功能
在Windows环境中,脚本类型样本层出不穷,恶意软件样本中采用脚本语言编写的比例日渐攀升,利用混淆技术加固自身的脚本样本更是难以分析。为缓解这一难题,天穹沙箱更新并引入了一项强大的脚本执行追踪功能,该功能可精准捕获脚本的执行过程,使沙箱在分析过程中能够更全面地检出恶意脚本样本。这一技术的引入,也助力安全人员的分析工作更为便捷高效。
深入解析Windows VTL机制 & IUM进程
本文深入探讨了Windows平台虚拟化层中的VTL机制和IUM进程的内部细节,同时介绍了Intel Vt-x虚拟化技术的核心特点,文章末尾还提供了一种在用户态调试IUM进程的技术方法。
【天穹】双剑合璧:PowerShell反混淆 & 大模型解读
近年来,PowerShell频繁出现在各种网络攻击事件中,在高级持续攻击、勒索软件、网络钓鱼、加密劫持等攻击行为中都有利用到PowerShell。该脚本语言的动态特性使其能够轻易地被混淆处理,混淆手法之多使得脚本内容不仅能够绕过杀毒软件的检测查杀,也增加了恶意行为分析工作的难度。
Windows Hypervisor&内核调试的几种常见/不常见方法
本文介绍了调试Windows内核及Hypervisor的几种办法,其中DCI调试的部分介绍了一种调试Windows内核和Hypervisor的硬件调试方法。