short notes or quick thoughts
“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化: 一、银狐到底是什么?
2026年6月14日
“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化: 二、公开资料里的定义变化:从家族到集合体,再到通称
“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化: 三、为什么“银狐”会被泛化?
“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化: 四、怎么把“银狐”拆到可用层级?
“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化: 五、对检测和防御有什么启发?
“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化: 六、总结
“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化: 参考资料
样本分析复健:从行为观察到攻击链重建与检测线索提取: 一、样本分析的基本思路
2026年6月8日
样本分析复健:从行为观察到攻击链重建与检测线索提取: 二、样本分析环境检查
样本分析复健:从行为观察到攻击链重建与检测线索提取: 三、进入正式拿到样本:
样本分析复健:从行为观察到攻击链重建与检测线索提取: 第四层,静态代码分析。
样本分析复健:从行为观察到攻击链重建与检测线索提取: 第五层,动态代码跟踪。
样本分析复健:从行为观察到攻击链重建与检测线索提取: 结论
拒绝成为“零号病人”:基于 3CX 攻击链的SDLC重构与“假设失陷”审查(下篇): 上半场:重构 SDLC 防线,阻断污染源头
2026年5月23日
拒绝成为“零号病人”:基于 3CX 攻击链的SDLC重构与“假设失陷”审查(下篇): 下半场:假设失陷(Assume Breach),出厂前的终极安检
拒绝成为“零号病人”:基于 3CX 攻击链的SDLC重构与“假设失陷”审查(下篇): 结语
从 3CX 事件看终端安全防线的溃败:零信任网络构建: 一、3CX 连环供应链攻击路径还原
2026年5月22日
从 3CX 事件看终端安全防线的溃败:零信任网络构建: 二、 根因刨析:传统边界防御模型的五大致命缺陷
从 3CX 事件看终端安全防线的溃败:零信任网络构建: 三、 零信任重构:兼顾安全效用与员工体验的落地工程
从 3CX 事件看终端安全防线的溃败:零信任网络构建: 四、 零信任重构决策矩阵
安全畅想:从0到1搭建企业安全框架: 导向:通过‘用好云原生免费/低成本能力’和‘管理流程改造’,以极低的成本帮公司兜住生存底线
2026年5月18日
安全畅想:从0到1搭建企业安全框架: 架构模型
YARA规则速通: 一、 宏观认知:运行逻辑与实战方法
2026年5月11日
YARA规则速通: 二、 基础语法:规则的三大核心结构
YARA规则速通: 三、 进阶理论:规则类型与特征提取策略
YARA规则速通: 四、 实战模板库
YARA规则速通: 五、 “如何编写检测规则?”
YARA规则速通: 六、 学习路径与核心资源库
了解SIEM之Splunk: 引言
2026年5月9日
从Qilin勒索到WSL防护指南: WSL是什么
2026年4月18日
从Qilin勒索到WSL防护指南: Qilin勒索的全生命周期感染链
从Qilin勒索到WSL防护指南: WSL防护指南
拆解企业安全体系搭建需求: 方案一:初创/传统中小企业 —— “安全裸奔”期的全托管防线
2026年4月15日
拆解企业安全体系搭建需求: 方案二:快速发展期/中型企业 —— “告警疲劳”期的降噪与自动化
拆解企业安全体系搭建需求: 方案三:大型互金/泛互联网企业 —— 强调“假设已被突破”的零信任内网
学习SOC相关的一切: SOC(安全运营中心)是什么?
2026年4月14日
学习SOC相关的一切: SOC团队需要做什么?
学习SOC相关的一切: SOC团队的阵型:分层防御体系
学习SOC相关的一切: SOC工作台
学习SOC相关的一切: 关于SOC的经典误区
学习SOC相关的一切: 结语
终端安全架构解析:从边界防御到零信任演进: 终端安全的实际场景
2026年4月11日
终端安全架构解析:从边界防御到零信任演进: 终端安全体系的构成
终端安全架构解析:从边界防御到零信任演进: 结语
企业级安全设备选型调研与 ROI 评估报告: 第一章:选型前的自我诊断与基线评估
2026年4月6日
企业级安全设备选型调研与 ROI 评估报告: 第二章:归类四象限典型安全画像
企业级安全设备选型调研与 ROI 评估报告: 第三章:主流安全设备 ROI(投资回报率)评估矩阵
企业级安全设备选型调研与 ROI 评估报告: 第四章:架构可替换性与供应商锁定考量
企业级安全设备选型调研与 ROI 评估报告: 结语:采购战略终极建议
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 前言
2026年1月25日
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 类型一:社会工程学的极致——“Kong Tuke”与剪贴板劫持
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 类型二:复杂的“白加黑”与文件拼接——假破解软件样本分析
Lumma Stealer:从“剪贴板劫持”到“复杂多阶加载”的演进: 总结与防御
WannaCry勒索病毒深度解构: 样本概述与类型特征
2025年7月20日
WannaCry勒索病毒深度解构: 第一阶段:Payload 释放与环境初始化
WannaCry勒索病毒深度解构: 第二阶段:高价值资产甄别
WannaCry勒索病毒深度解构: 第三阶段:混合加密机制实现
WannaCry勒索病毒深度解构: t.wnry
WannaCry勒索病毒深度解构: 第四阶段:胁迫与持久化
WannaCry勒索病毒深度解构: 第五阶段:扫尾与反取证
WannaCry勒索病毒深度解构: 总结
WannaCry勒索病毒深度解构: WNCRY的所有涉及文件
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 一、 概述
2025年6月2日
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 二、样本信息
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 三、攻击链
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 四、分阶段分析
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: MITRE ATT&CK 映射
“银狐”变种:文件增肥与 PoolParty 注入的高级攻击链路剖析: 参考来源
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 一、前言
2025年5月12日
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 二、样本信息
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 三、攻击链重构
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: MITRE ATT&CK 映射
“银狐”木马深度逆向:无文件加载与多维对抗的高级隐蔽战术: 参考来源
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 基本信息
2025年4月1日
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 反混淆方法论
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 核心样本分析
基于 PowerShell 模块驱动的柠檬鸭(Lemon Duck)深度分析报告: 处置建议
Visual Studio 项目高级利用手法与安全防御: 1. 威胁背景:IDE 的隐蔽攻击面
2025年3月16日
Visual Studio 项目高级利用手法与安全防御: 2. 攻击向量分类:基于触发门槛的递进
Visual Studio 项目高级利用手法与安全防御: 3. 高阶隐蔽手法深挖:.suo 文件反序列化漏洞
Visual Studio 项目高级利用手法与安全防御: 4. 自动化检测与防御方案
深度伪装的陷阱:.suo 文件投毒与 Notion C2 隐蔽通信分析: 摘要
2025年3月8日
深度伪装的陷阱:.suo 文件投毒与 Notion C2 隐蔽通信分析: 完整攻击链路
深度伪装的陷阱:.suo 文件投毒与 Notion C2 隐蔽通信分析: 防御与排查建议
宏病毒深度剖析:从原理到对抗技术全解析: 什么是“宏”?
2025年2月23日
宏病毒深度剖析:从原理到对抗技术全解析: “宏病毒”又是什么?
宏病毒深度剖析:从原理到对抗技术全解析: “宏病毒”藏在哪?
宏病毒深度剖析:从原理到对抗技术全解析: 如何查看宏代码
宏病毒深度剖析:从原理到对抗技术全解析: 静态分析
宏病毒深度剖析:从原理到对抗技术全解析: 动态分析
宏病毒深度剖析:从原理到对抗技术全解析: 宏病毒的恶意利用手段
Sality感染型样本流水账分析: FSG脱壳
2024年10月24日
Sality感染型样本流水账分析: 衍生物分析
CVE-2018-20250 WinRAR 漏洞利用样本分析: 前言:Exploit 与普通病毒的区别
2024年10月11日
CVE-2018-20250 WinRAR 漏洞利用样本分析: 样本概览
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第一阶段:特洛伊木马的容器
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第二阶段:突破边界与精准投递
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第三阶段:触发与核心调度
CVE-2018-20250 WinRAR 漏洞利用样本分析: 第四阶段:后门模块展开 (Payload)
CVE-2018-20250 WinRAR 漏洞利用样本分析: 总结
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 前言:为什么 Rootkit 与众不同?
2024年9月23日
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 样本概览
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第一阶段:潜入与扎营 (初始化阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第二阶段:穿上隐身衣 (隐匿对抗阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第三阶段:伸出触手 (注入与穿透阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 第四阶段:捕猎与收割 (负载执行阶段)
内核幽灵:深度解析某PE64 Rootkit 驱动样本的生命周期与核心技术: 总结
感染型病毒分析一则: 基本信息
2024年8月18日
感染型病毒分析一则: 样本行为
感染型病毒分析一则: 入侵与潜伏(潜伏机制)
感染型病毒分析一则: 指令中枢与环境自检(防御绕过)
感染型病毒分析一则: 后门开启与远程操纵(木马行为)
感染型病毒分析一则: 全盘收割(感染与加密行为)
感染型病毒分析一则: 感染性
感染型病毒分析一则: 应急处置清单
经典蠕虫病毒教科书---熊猫烧香: 基本信息
2024年8月12日
经典蠕虫病毒教科书---熊猫烧香: 第一道关卡:壳的博弈
经典蠕虫病毒教科书---熊猫烧香: 深度剖析:核心恶意行为
深度解析“白加黑”后门病毒: 样本信息
2024年7月23日
深度解析“白加黑”后门病毒: 第一阶段:伪装与诱饵
深度解析“白加黑”后门病毒: 第二阶段:环境准备与核心启动
深度解析“白加黑”后门病毒: 第三阶段:解密与权限突破
深度解析“白加黑”后门病毒: 第四阶段:狡猾的持久化
深度解析“白加黑”后门病毒: 第五阶段:隐蔽通信与最终载荷
深度解析“白加黑”后门病毒: 总结:如何识别后门病毒?
Mirai僵尸网络从样本分析到源码构造: 例样分析
2024年7月2日
Mirai僵尸网络从样本分析到源码构造: Mirai源码分析
LSASS凭证窃取的演进与EDR防御: 引言
2024年3月5日
LSASS凭证窃取的演进与EDR防御: 合法签名工具滥用
LSASS凭证窃取的演进与EDR防御: 底层 Syscall 与特征剥离
LSASS凭证窃取的演进与EDR防御: 句柄克隆与位置无关代码(PIC)
LSASS凭证窃取的演进与EDR防御: 防线迭代
3CX桌面端供应链攻击样本逆向分析: 攻击链
2024年3月4日
3CX桌面端供应链攻击样本逆向分析: 样本基础信息
3CX桌面端供应链攻击样本逆向分析: 逆向分析
3CX桌面端供应链攻击样本逆向分析: 结论