Andytoe的博客

Rootkit是一种获取系统root权限的恶意软件，能隐藏自身及关联文件、进程和网络链接。Rootkit Unhooker是专用于检测和清除Rootkit的工具，支持32位Windows系统。主要检测功能包括：SSDT钩子检测恢复（可追踪挂钩模块并清理）、隐藏进程/驱动/文件检测（识别未在系统列表中显示的可疑对象）、隐藏代码检测（发现驱动中的可执行代码片段）、用户模式钩子检测（处理进程注入）以及生成详细报告。该工具通过内核级扫描，有效对抗90%的Rootkit威胁，需管理员权限运行。

内存马是一种隐蔽性强的恶意软件，通过将恶意代码注入系统内存实现攻击。其工作流程包括注入代码、修改执行流程、隐藏进程和接收控制命令。查杀内存马可采取使用进程管理工具、分析网络流量、使用安全检测工具和升级安全补丁等方法。内存马主要分为servlet-api型和字节码增强型两类。排查思路包括判断注入方式、分析流量特征、检查中间件漏洞和框架漏洞等。内存马因其隐蔽性已成为主要网络攻击手段之一。

摘要：Java CC链（Call Chain）是指Java类间方法调用形成的依赖关系链，当其中存在安全漏洞时可能被攻击者利用。CC链问题属于常见Java漏洞，攻击者可利用不安全的类调用链执行恶意代码，如远程命令执行或数据窃取。典型例子包括JDK的AnnotationInvocationHandler反序列化漏洞和Spring SpEL表达式注入。防范关键点在于识别调用链中安全检查不足的构造函数，并防止恶意参数传递。开发中需严格检查类库间的调用关系，及时修复漏洞，以保障Java应用安全。（150字）

本文分析了Cobalt Strike和Metasploit的流量特征。Cobalt Strike的流量架构包括teamserver、C2服务器和beacon主机，其HTTP/HTTPS/DNS通信具有特定模式，如checksum8路径验证、心跳请求和异常DNS记录。Metasploit V4采用模块化架构，包含辅助、渗透、后渗透等模块，其bind_tcp流量虽加密但仍保留MZ标头特征。两种工具都可通过修改配置规避部分检测，但某些强特征（如checksum8响应和JA3指纹）难以完全消除。分析这些特征有助于检

Java安全漏洞与关键技术解析 摘要：本文梳理了Java相关核心概念与常见安全漏洞。关键技术包括：JNDI（命名目录服务接口）、RMI（远程方法调用）、反序列化机制、反射等。重点分析了反序列化漏洞成因，即通过重写readObject()方法嵌入恶意代码。典型案例包括FastJSON漏洞（利用AutoType功能）和WebLogic漏洞（XMLDecoder反序列化、T3协议漏洞等）。WebLogic还涉及SSRF漏洞，可通过换行符构造特殊请求。文章还介绍了Java Web三大组件（Servlet、Filte