overview ​ 过去一段时间，我投入了一些精力复现 TheWizards 1 使用IPv6 SLAAC 劫持软件更新技术。由于工作需要，我被迫开始了从仅存的文章和部分样本开始研究分析。然而，这篇文章我并不想讨论过多技术细节。我相信，每位安全研究人员都能够稳定复现这种技术。在这里，我想讨论的是这种技术在攻击链上所处的角色，它的适用条件是什么，以及当前软件的整体安全生态...

overview 笔者在对ETW进行研究过程中，发现了 @YanZiShuang 在21年挖的一个洞 CVE-2021-38625 有一篇文章EtwpWriteUserEvent integer overflow and size double fetch 对这个漏洞的进行了分析，没有相关证据表明文章是作者写的。初步看上去，这个漏洞较为简单，root cause是分配的内存大小...

过去一段时间对Diff进行了一些工作。它的工作原理是基于ida headless自动化比对二进制程序，将结果按照特定文件格式写入保持下来，客户端通过DiffClient .NET WPF编写的工具进行可视化查看。 在最开始使用时，它表现良好。随着对结果分析，渐渐地一个需求随之而来–UI的状态保存和恢复（IDA数据库那样打开可以恢复到上次停留的地方）这个想法最开始两年前已经存在于潜意识之中，...

最近IDA又开始活动了。推出了ida_domain here1 ida-domain python package 对以往IDAPython进行重构并且idalib headless支持也更舒服。想起之前还留有许多坑没有填完，就有了此文。 笔者回答了以下几个问题： IDA 反编译尤其是ida_domain 支持并发反编译函数吗？ ida_domain 对headless支持有...

本节学习下内核提供的 Callback mechanism Callback 机制和如何使用API 来创建Callback对象 逆向内核，审计实现原理 调试 系统开机创建的Callback Metadata 当某些特定条件发生时，内核为驱动提供了通知机制 动机： 事件通知机制 监控系统内某一事件的操作 回调机制： 反映系统内某一个部件的状态 也可以实现多个内核模块...

root cause 问题在于 crypt32!Asn1X509GetPKIFreeText 类型不匹配 a4 强制类型转换 宽字节类型 rgFreeText，后续拷贝内存时 Size没有使用对应的大小 diff crypt32-10.0.22621.3575.dll_vs_crypt32-10.0.22621.3640.dll.diffdecompile diffdeco...

2025-07-29 补丁更新分析 ksecdd 10.0.26100.4484 - 10.0.26100.4768 添加了两对 Feature, 这里我们关注 Feature_Servicing_KSecDDMemoryLeak 根据decompilation 补丁函数是 InitializePackages 经过分析 CreateClient调用 InitializePack...

重新以一个研究人员的思维看待访问控制模型。 研究动机是 当我在研究AppContainer时，发现了james 一篇漏洞关于 Windows Sandbox Anonymous Kernel Object Unrestricted DACL 问题。 这个漏洞也成为了 james 入职 Google Project Zero的标志性漏洞（fixed it by myself :)) 这...

今年来在北京游玩了几个园区，感受人与自然的和谐之美，也为我写下一些作品提供了灵感来源。在一边读书做研究的过程中，有了一定的知识储备，还需要实践加以转化，这便是其目的。 这里借助陶渊明的一首诗抛玉引砖 《饮酒*其四》 特别喜欢那种”托身已得所,千载不相违”对自我品质的习性。如果有读者认为是倔强和执着，对此我要做出反驳。屈子所言:”亦余心之所善兮,虽九死其犹未悔”。纵使利剑饮吾血,也要溅他三丈...