alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1)

• alert：表示如果此条规则被触发则告警
• tcp：协议类型
• ip地址：源/目的IP地址
• any/80：端口号
• ->：方向操作符，还有<>双向。
• msg：在告警和包日志中打印消息
• sid：Snort规则id …

XDCTF2015是我觉得很给力的一次CTF，题目难度适中，也没出什么乱子，圆满结束了。

向来CTF是很容易出乱子的，有时候乱子来自于自身，比如某年的XDCTF因为学校机房停电导致初赛停顿了几个小时。当然，更多的乱子来自于“黑客”。因为CTF是安全相关的竞赛，自然会吸引很多安全研究者的目光。这里的“黑客”就是指通过各种手段让其他选手没法正常做题的人。

subTee在博客中不仅介绍了如何利用InstallUtil.exe直接执行pe文件，还提到了另一种利用方式——利用InstallUtil执行shellcode从subTee分享的代码可以看出其测试环境为64位、.net4.0环境，在360安全播报上发表的文章也认为执行环境必须是.net4.0以上，适用范围很窄但我并不这么认为

大概是从今年年初的时候关注了这一块的话题，3月份买的TOSHIBA的U盘进行的测试，期间一直在完善利用代码，期间收到了一些大牛的启发，感谢Psychson这个项目的开源，DM_在PowerShell方面的文章，以及参考过三好学生，jeary等人的配置，虽然并没有交流，但是读了他们的帖子后实践完善了整个利用过程。这是BadUsb的GitHub地址,以及原作者的操作视频（YouTube俄语翻译真心栏...自备梯子）

DNS TXT记录一般用来记录某个主机名或者域名设置的说明，在这里可以填写任何东西，长度限制255。绝大多数的TXT记录是用来做SPF记录（反垃圾邮件）。本篇文章主要介绍如何使用nishang通过创建TXT记录执行powershell脚本。当然，首先你要有一个域名。

DLL劫持是一项广为人知的攻击技术，一直以来被认为只会影响到Windows系统。然而本文将会介绍OS X系统同样存在着动态链接库劫持。通过利用OS X动态库loader的未文档化的技术和几种特性，攻击者将精心制作的包含恶意代码的动态链接库加载进存在漏洞的程序中。通过这种方法，攻击者可以实现多种恶意行为，包括：隐秘驻留，进程加载时注入，绕过安全防护软件，当然还包括Gatekeeper的绕过(提供远程注入的机会)。因为攻击者利用的是操作系统提供的合法函数调用，所以只能尽力防御，不可能被完全修补。本文将要提供用于发现存在漏洞二进制文件的技术和工具，同时也可以用来探测是否有劫持已经发生。

之前对Android的两个运行时的源码做了一些研究，又加上如火如荼的Android加固服务的兴起，便产生了打造一个用于脱壳的运行时，于是便有了DexHunter的诞生（源码：https://github.com/zyq8709/DexHunter/）。今天，我就通过这篇小文聊聊我的一些简单的思路，供大家参考和讨论。

那篇文章中有UPX脱壳笔记,tElock脱壳笔记,PEncrypt脱壳笔记.但是我认为应该详细介绍八大法脱壳。因为他提到的所有这种脱壳笔记,都是利用八大法脱的!每一种壳都可以用很多种方法来脱掉,所以应该介绍的应该是脱壳大法,而不是xxx壳应该用xxx方法来脱,授人以鱼不如授人以渔。SO,有了这篇教程~

Android应用程序相比传统PC应用程序更容易被逆向，因为被逆向后能够完整的还原出Java代码或者smali中间语言，两者都具有很丰富的高层语义信息，理解起来更为容易，让程序逻辑轻易暴露给技术能力甚至并不需要很高门槛的攻击者面前。因此Android应用程序加固保护服务随之应运而生。从一开始只有甲方公司提供服务到现在大型互联网公司都有自己的加固保护服务，同时与金钱相关的Android应用程序例如银行等也越来越多开始使用加固保护自己，这个市场在不断的扩大。

随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段，希望能对国内移动安全的研究起到一些催化剂的作用。

Duke网络间谍小组手头掌握有充足的资源，他们目标明确，行动有条理。我们认为，Duke小组至少从2008年开始就为俄罗斯联邦效力，帮助俄罗斯收集情报，从而制定外交和安全政策。

译者按: 这是一篇对 <<DUKES---||-持续七年的俄罗斯网络间谍组织大起底>>文章的补充文章. 披露的是格鲁吉亚CERT在2011年对俄罗斯军方黑客的一次调查. 文章中诸多亮点现在看还是常看常新:比如反制黑客的手段是诱使黑客执行了一个木马. 另外将此篇文章对比最近ThreatCONNECT发布的camerashy报告,让我们不禁感慨的是,政府的反APT实在是比商业公司的反APT纯粹多了,专业多了.

在对客户网络内网进行流量监控时发现，一台主机172.25.112.96不断对172.25.112.1/24网段进行TCP445端口扫描，这个行为目的在于探测内网中哪些机器开启了SMB服务，这种行为多为木马的通信特征。

在分析恶意软件或对恶意软件进行脱壳的时候，我们经常会遇到重建PE文件的需求。现在大多数自动化的PE重建工具虽然很棒，但并不能针对每一种情况，有时候需要我们自己手动重建PE文件。在这篇博客中，我们将介绍一些重建PE文件的方法。

本月微软安全公告MS15-097修复了Microsoft Graphics组件中多个内核漏洞。其中Win32k内存损坏特权提升漏洞：CVE-2015-2546（https://technet.microsoft.com/zh-CN/library/security/ms15-097.aspx）引起了笔者的注意。该漏洞是FireEye在9月8日发布的一份攻击报告（https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/twoforonefinal.pdf）中发现的，攻击者利用该漏洞可获得系统SYSTEM权限。