short notes or quick thoughts
企业从0-1的安全体系搭建: 方案一:初创/传统中小企业 —— “安全裸奔”期的全托管防线
2026年4月15日
企业从0-1的安全体系搭建: 方案二:快速发展期/中型企业 —— “告警疲劳”期的降噪与自动化
企业从0-1的安全体系搭建: 方案三:大型互金/泛互联网企业 —— “安全大拿”期的主动狩猎与深水区对抗
学习SOC相关的一切: SOC(安全运营中心)是什么?
2026年4月14日
学习SOC相关的一切: SOC团队需要做什么?
学习SOC相关的一切: SOC团队的阵型:分层防御体系
学习SOC相关的一切: SOC工作台
学习SOC相关的一切: 关于SOC的经典误区
学习SOC相关的一切: 结语
终端安全架构解析:从边界防御到零信任演进: 终端安全的实际场景
2026年4月11日
终端安全架构解析:从边界防御到零信任演进: 终端安全体系的构成
终端安全架构解析:从边界防御到零信任演进: 结语
企业级安全产品选型: 第一章:选型前的自我诊断
2026年4月6日
企业级安全产品选型: 第二章:归类四象限典型安全画像
企业级安全产品选型: 第三章:可替换性考量
企业级安全产品选型: 结语:采购战略终极建议
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 前言
2026年1月25日
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 类型一:社会工程学的极致——“Kong Tuke”与剪贴板劫持
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 类型二:复杂的“白加黑”与文件拼接——假破解软件样本分析
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 总结与防御
WannaCry勒索病毒深度解构: 样本概述与类型特征
2025年7月20日
WannaCry勒索病毒深度解构: 第一阶段:Payload 释放与环境初始化
WannaCry勒索病毒深度解构: 第二阶段:高价值资产甄别
WannaCry勒索病毒深度解构: 第三阶段:混合加密机制实现
WannaCry勒索病毒深度解构: t.wnry
WannaCry勒索病毒深度解构: 第四阶段:胁迫与持久化
WannaCry勒索病毒深度解构: 第五阶段:扫尾与反取证
WannaCry勒索病毒深度解构: 总结
WannaCry勒索病毒深度解构: WNCRY的所有涉及文件
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 一、 概述
2025年6月2日
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 二、 核心威胁指标 (IoCs)
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 三、 攻击链路解析
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 附录
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 一、 前言
2025年5月12日
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 二、 样本信息
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 三、 攻击链路解析
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 附录
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 基本信息
2025年4月1日
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 反混淆方法论
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 核心样本分析
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 处置建议
Visual Studio 项目高级利用手法与安全防御: 1. 威胁背景:IDE 的隐蔽攻击面
2025年3月16日
Visual Studio 项目高级利用手法与安全防御: 2. 攻击向量分类:基于触发门槛的递进
Visual Studio 项目高级利用手法与安全防御: 3. 高阶隐蔽手法深挖:.suo 文件反序列化漏洞
Visual Studio 项目高级利用手法与安全防御: 4. 自动化检测与防御方案
深度伪装的陷阱:针对安全人员的 .suo 文件投毒与 Notion C2 隐蔽通信分析: 1. 执行摘要
2025年3月8日
深度伪装的陷阱:针对安全人员的 .suo 文件投毒与 Notion C2 隐蔽通信分析: 2. 完整攻击链路
深度伪装的陷阱:针对安全人员的 .suo 文件投毒与 Notion C2 隐蔽通信分析: 3. 关键技术细节剖析
深度伪装的陷阱:针对安全人员的 .suo 文件投毒与 Notion C2 隐蔽通信分析: 4. 威胁情报 (IOCs)
宏病毒深度剖析:从原理到对抗技术全解析: 什么是“宏”?
2025年2月23日
宏病毒深度剖析:从原理到对抗技术全解析: “宏病毒”又是什么?
宏病毒深度剖析:从原理到对抗技术全解析: “宏病毒”藏在哪?
宏病毒深度剖析:从原理到对抗技术全解析: 如何查看宏代码
宏病毒深度剖析:从原理到对抗技术全解析: 静态分析
宏病毒深度剖析:从原理到对抗技术全解析: 动态分析
宏病毒深度剖析:从原理到对抗技术全解析: 宏病毒的恶意利用手段
Sality感染型样本流水账分析: FSG脱壳
2024年10月24日
Sality感染型样本流水账分析: 衍生物分析
CVE-2018-20250 WinRAR 漏洞利用样本分析: 前言:Exploit 与普通病毒的区别
2024年10月11日
CVE-2018-20250 WinRAR 漏洞利用样本分析: 样本概览
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第一阶段:特洛伊木马的容器
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第二阶段:突破边界与精准投递
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第三阶段:触发与核心调度
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第四阶段:后门模块展开 (Payload)
CVE-2018-20250 WinRAR 漏洞利用样本分析: 总结
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 前言:为什么 Rootkit 与众不同?
2024年9月23日
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 样本概览
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第一阶段:潜入与扎营 (初始化阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第二阶段:穿上隐身衣 (隐匿对抗阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第三阶段:伸出触手 (注入与穿透阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第四阶段:捕猎与收割 (负载执行阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 总结
感染型病毒分析一则: 基本信息
2024年8月18日
感染型病毒分析一则: 样本行为
感染型病毒分析一则: 入侵与潜伏(潜伏机制)
感染型病毒分析一则: 指令中枢与环境自检(防御绕过)
感染型病毒分析一则: 后门开启与远程操纵(木马行为)
感染型病毒分析一则: 全盘收割(感染与加密行为)
感染型病毒分析一则: 感染性
感染型病毒分析一则: 应急处置清单
经典蠕虫病毒教科书---熊猫烧香: 基本信息
2024年8月12日
经典蠕虫病毒教科书---熊猫烧香: 第一道关卡:壳的博弈
经典蠕虫病毒教科书---熊猫烧香: 深度剖析:核心恶意行为
深度解析“白加黑”后门病毒: 样本信息
2024年7月23日
深度解析“白加黑”后门病毒: 第一阶段:伪装与诱饵
深度解析“白加黑”后门病毒: 第二阶段:环境准备与核心启动
深度解析“白加黑”后门病毒: 第三阶段:解密与权限突破
深度解析“白加黑”后门病毒: 第四阶段:狡猾的持久化
深度解析“白加黑”后门病毒: 第五阶段:隐蔽通信与最终载荷
深度解析“白加黑”后门病毒: 总结:如何识别后门病毒?
Mirai僵尸网络从样本分析到源码构造: 例样分析
2024年7月2日
Mirai僵尸网络从样本分析到源码构造: Mirai源码分析
3CX桌面端供应链攻击样本逆向分析: 攻击链
2024年3月4日
3CX桌面端供应链攻击样本逆向分析: 样本基础信息
3CX桌面端供应链攻击样本逆向分析: 逆向分析
3CX桌面端供应链攻击样本逆向分析: 结论