前言: docker部署的相同的业务,Host OS也是相同的版本,但是一段代码跑在E5-2630 v4和Gold 5118上,性能却相差很多。业务在在Gold 5118上,QPS下降到了E5-2630 v4的三分之一左右,而且CPU使用率更高。 Gold 5118是Products formerly Skylake系列,E5-2630 v4是Products formerly Broadwell 系列。按理说,Skylake是更新的架构,性能应该更好才对,然而实际表现却并非如此。 分析: 1,perf 在两台机器分别执行perf,发现在5118上,有些不同的地方,libgomp中出现了热点。 先用md5sum确认两个so是否出现了差异,结果是相同的。 因为libgomp被strip过,所以没有对应的symbol,perf只能拿到热点的IP:0xfc79。 使用#objdump -D得到disassembly code,如下
RDTSC时钟检测同样可实现反调试检测,使用时钟检测方法是利用rdtsc汇编指令,它返回至系统重新启动以来的时钟数,并且将其作为一个64位的值存入EDX:EAX寄存器中,通过运行两次rdstc指令,然后计算出他们之间的差值,即可判定对方是否在调试我们的程序。
GCC 会为不同 CPU 架构预定义宏,如 __x86_64__ 代表Intel 64位CPU, __aarch64__代表 ARM64。 网上已经有文档对 GCC 为 CPU 的预定义宏进行了总结。
作为对标准定时攻击的反对,我们提供了一种更新颖的方法,该方法不依赖时间戳计数器,并且需要进行更多的欺骗工作。在这里的帖子中已经简要提到了这一点,我们决定进一步详细介绍。
由于SP3已经集成了所有的KB系列补丁,所以当然也就集成了INTEL的双核补丁。只需要修改下注册表就可以了,修改注册表前,PI软件运行,主要依靠CPU中的内核1,内核2运行量比较少,修改注册表后,倒过来了,内核2运行量比较大,通常情况下内核1运行的软件要比内核2要多,平常的工作量也相对多一点,在系统空载的情况下,PI测试的分值变化非常的小.修改注册表是给操作系统更多的权限修改对处理器分配任务的方式。
*本文原创作者:langyajiekou,本文属FreeBuf原创奖励计划,未经许可禁止转载 📷 前段时间突然收到一个客户的电话,报告说她的电脑出了问题,所有文件都无法打开了,据她们自己的IT人员发现所有文件都多了一个.zepto的扩展名。 我当时一听到就咯噔一声,糟了,中勒索软件了,zepto是个新的变种,隶属于Locky家族。说实话,最怕听到有客户机器感染此类勒索软件,基本没有办法可以修复,如果数据非常重要,而又没有恰当的备份,简直就是灾难级别的事故。没有办法,只好放下手中的工作立即赶过
沙盒模拟通常持续很短的时间,因为沙盒加载了数千个样本。仿真 时间很少超过3-5分钟。因此,恶意软件可以利用这一事实来避免检测:它可能会执行 在开始任何恶意活动之前长时间延迟。
我们知道kvm有一个半虚拟化的时钟kvm-clock,但是现在只对Linux Guest支持,半虚拟化的时钟具有准确高效的有点,而使用TSC和RTC等时钟存在效率低高延迟的缺点,本文具体介绍一下虚拟化下的时钟原理。
https://docs.nvidia.com/cuda/cuda-c-best-practices-guide/index.html 来阅读原文。
TinyTracer是一款功能强大的API调用跟踪工具,在该工具的帮助下,广大研究人员能够轻松实现API的调用跟踪。
本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。
最近在调试一个病毒样本,外壳加了VMP3.5,虚拟化工具和反调试使得在原虚拟机系统上不是那么的方便。由于我使用的是OD,分析绕过的只有VMP的反调试,所以我选择寻求去虚拟化系统来减少工作量(嘿嘿)。如果你的Ollydbg或者操作环境已经能够绕过虚拟化检测,那么恭喜你,你很强。
从我们用户的使用就可以感受到网速一直在提升,而网络技术的发展也从1GE/10GE/25GE/40GE/100GE的演变,从中可以得出单机的网络IO能力必须跟上时代的发展。
继续学习《逆向工程核心原理》,本篇笔记是第七部分:反调试技术,包括一些静态反调试技术和动态反调试技术
原文链接:https://www.cnblogs.com/qcloud1001/p/9585724.html
跟踪中断,消息,分支等是通过IA32_DEBUGCTLMSR在Intel硬件上实现的非常有用的功能。特别是,一些管理程序利用最后分支记录(LBR)和分支跟踪来跟踪混淆产品(例如反欺诈)中的分支。由于某些反作弊产品的欺骗返回地址可以利用LBR / BTS来跟踪发生分支的确切位置。
EasyAntiCheat还使用标准定时攻击,使它们可以通过适当的TSC仿真(在前面的小节中进行了描述)被规避。
定量分析是一切优化过程中最重要的过程之一。在性能优化和分析中,我们如何来描述一段代码的执行效率呢?这里,我将这一过程分为2步。 第一步:我们要找到一个客观的、相对稳定的单位,来描述一个程序的运行时间; 第二步:构造合理的、更接近起初情况的测试用例来进行测量。 这样,最终得到的结果,就是对于一段代码执行效率的客观描述。 一、单位确定 首先,我们要确定下来描述单位。通常来说,时间差被广泛地用做描述计算能力的单位。顾名思议,就是在代码前记下一个时间T1,在执行后记下一个时间T2。然后通过计算∆ = T2 - T1
前言: Intel爆出来的漏洞,搞了一个大新闻,然后Linus也对Intel的补丁批判了一番。 关于meltdown攻击的原理,以及retpoline防御,见下文。 分析: 1,MMU & CPU Cache & CPL & spectulative exection & Syscall 有几个关键的概念需要说明: MMU,Memory Management Unit。在CPU(本文的CPU默认是x86)跑在protected mode下的时候,使用的是虚拟地址,MMU是一个硬件,负责把虚拟地址翻译成虚
恶意代码编写者经常使用反虚拟机技术逃避分析,这种技术可以检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。
做C++,当然不能不关心性能。但是,什么时候开始关心性能优化?2020全球C++及系统软件技术大会中《C++性能调优纵横谈》的演讲,现场座无虚席,好评连连。下面让演讲者,Boolan首席软件咨询师吴咏炜老师为大家揭秘。
这个题目很有意思,里面出现了总共12个反调试反虚拟机的操作,本文内容分两部分,前部分是题解,后部分是这12个反调试反虚拟机手法分析
恶意代码编写者经常使用反虚拟机技术逃避分析,这种技术可以检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用反虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,反虚拟机技术可能变得更加少见。这里研究最常见的反虚拟机技术(包括VMware、virtualbox和virtualpc,重点是最常用的VMware),并且介绍一些如何防御它们的办法。 一、检测虚拟机痕迹 1.根据MAC地址 通常,MAC地址的前三个字节标识一个提供商。以00:05:69、00:0c:29和00:50:56开始的MAC地址与VMware相对应;以00:03:ff开始的MAC地址与virtualpc对应;以08:00:27开始的MAC地址与virtualbox对应。
GMT 是一个 时区,也指一种 时制。很久以前,科学家通过天文观察,将一个太阳日定义为 86400 秒,以英国 Greenwich 天文台白天平均太阳最高点作为正午 12:00,这样一个相对长度 + 一个绝对时刻,就定义了一套绝对时间体系,也就是 GMT 体系,同时 Greenwich 所在的时区也作为 GMT+0 时区。自1924年2月5日开始,Greenwich 天文台负责每隔一小时向全世界发放调时信息。再后来又从 GMT 升级到了 UT1,本质不变,还是基于天体测量。
MySQL得益于其开源属性、成熟的商业运作、良好的社区运营以及功能的不断迭代与完善,已经成为互联网关系型数据库的标配。可以说,X86服务器、Linux作为基础设施,跟MySQL一起构建了互联网数据存储服务的基石,三者相辅相成。
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测反调试,MapFileAndCheckSum,等都可实现反调试,这里我分别编写了一些案例,基本上一锅端了。
这个time相关的支持,应该就是date库的实现。这个一直在推进标准,不知道进展如何
(1)如果安装了VMware Tools,则使用CreateToolhelp32Snapshot、Process32Next扫描进程列表,查看是否有VMwareService.exe、VMwareTray.exe和VMwareUser.exe (2)查看网卡地址是否以00:0C:29开头,或查看其它硬件版本 (3)探测内存痕迹,搜索含有VMware的字符串 (4)Red Pill反虚拟机技术->漏洞指令sidt,根据返回的idtr值不同,在多核处理器上无效 (5)No Pill技术->漏洞指令sldt,主机系统上的LDTR值为0,虚拟机中不为0 (6)查看查询I/O通信端口,监视in指令,第二个操作数为VX (7)查看str指令,主机和虚拟机中返回值不一样,str指令用来从任务寄存器中检索段选择子
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试器调试它的痕迹,其中包括使用Windows API、手动检测调试器人工痕迹的内存结构,查询调试器遗留在系统中的痕迹等。调试器探测是恶意代码最常用的反调试技术。 1.使用Windows API 使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了这样一些API,应用程序可以通过调用这些API,来检测自己是否正在被调试。这些API中有些是专门用来检测调试器的存在的,而另外一些API是出于其他目的而设计的,但也可以被改造用来探测调试器的存在。其中很小部分API函数没有在微软官方文档显示。通常,防止恶意代码使用API进行反调试的最简单的办法是在恶意代码运行期间修改恶意代码,使其不能调用探测调试器的API函数,或者修改这些API函数的返回值,确保恶意代码执行合适的路径。与这些方法相比,较复杂的做法是挂钩这些函数,如使用rootkit技术。 1.1IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。
0x00 前言 2018伊始,两个芯片级漏洞Meltdown(熔断)、Spectre(幽灵)漏洞震惊的安全界。受影响的CPU包括Intel、AMD和ARM,基本囊括的消费级CPU市场的绝大部分。Meltdown漏洞可以在用户态越权读取内核态的内存数据,Spectre漏洞可以通过浏览器的Javascript读取用户态的内存数据。虽然这两个漏洞对个人PC影响有限,但是确摧毁了公有云的基石——用户可在虚拟机里可以无限制的读取宿主机或者其他虚拟机的数据。 0x01 背景知识 了解Meltdown和Spectre
AVX(Advanced Vector Extensions)用的是ymm寄存器,每个256字节。 先看一个数据操运算的例子:
http://blog.csdn.net/wangyaninglm/article/details/41940287
前言: kvm-clock,tsc,hpet,acpi_pm,pit,rtc。。。这些词看着都晕了@@ 虚拟化场景下,容作者在这里一一道来。 分析: 1,Linux clocksource 以Li
原文地址:http://blog.csdn.net/yxnk/article/details/1665052
第一就是获取当前时间,就像人想知道时间时看墙上挂的时钟一样,简称clock,如time()/ftime()/gettimeofday()/data()等这些系统调用,都是软件主动获取时间。
李剑,携程技术保障中心系统研发部资深软件工程师,负责Redis和Mysql的容器化和服务化工作,以及维护容器宿主机的内核版本,喜欢深入分析系统疑难杂症。
Corrected machine-check error interrupt (CMCI)是MCA的增强特性,它提供了一种threshold-based的错误上报方式。这种模式下,软件可以配置硬件corrected MC errors的阈值,硬件发生CE(Corrected Error)次数达到阈值后,会产生一个中断通知到软件处理。
2016年中国网络空间安全年报 4.3 C&C服务器分布情况分析 C&C服务器,其全称为command and control server。攻击者通过各种途径传播恶意代码程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令。C&C服务器通常是被黑客利用建立控制通道,对被攻击方实施控制的重要跳板。 本节通过对APT云端中2016年互联网上传播恶意代码程序的C&C IP/URL进行分析,发现大量了仍然在活跃的C&C服务器。 4.3.1 大多C&C服务器活跃时间较短 根据安恒对截止到
可以查看文件 /usr/local/go/src/runtime/rt0_linux_amd64.s
很多代码场景下c++的灵活性要高于强制安全检查,且一些场景下rust生成的汇编不如c++少
简介:Intel SGX是一个把应用与OS完全隔离的可信执行环境,应用无法直接访问OS提供的资源。我们采用的Teaclave-SGX-SDK只提供了no_std环境,导致crates生态下大量的库都无法被使用。我们通过添加libc函数模拟linux平台特性,实现依赖std的Rust生态库无需修改即可在SGX环境使用。为了保证尽可能小的安全边界,我们对每个增补的libc函数做了权限控制。同时引入了二进制分析,确保程序不会出现SGX非法指令。
asm volatile(assembler template : output : input : clobber);
在某些场景下,我们需要进行一些特殊优化,因此我们可能需要用到golang汇编,golang汇编源于plan9,此方面的 介绍很多,就不进行展开了。我们WHY和HOW开始讲起。
原文:http://blog.fortinet.com/post/A-Good-Look-at-the-Andromeda-Botnet 翻译:徐文博 Andromeda是一个模块化的bot。最原始的bot仅包含一个加载器,在其运行期间会从C&C服务器上下载相关模块和更新,它同时也拥有反虚拟机和反调试的功能。它会注入到可信进程中来隐藏自己,然后删除原始的bots。该bot会潜伏很长时间(从几天到几个月不等)才与C&C服务器进行通信。所以,很难获取到感染主机和C&C服务器间的网络流量信息。 最新的官方编译版本
瞬态执行攻击(Transient Execution Attack)是一种利用现代 CPU 优化技术漏洞的攻击。 侧信道(Side-channel)是瞬态执行攻击泄漏数据的关键部分。 在这项工作中发现了一个漏洞,即瞬态执行中 EFLAGS 寄存器的更改可能会对英特尔处理器中条件代码跳转指令(Jcc,Jump on condition code)产生附加影响。本研究基于此发现提出了一种新的侧信道攻击,它利用瞬态执行和 Jcc 指令的时间来传递数据。 这种攻击将秘密数据编码到寄存器的变化中,这使得上下文的执行时间稍微变慢,攻击者可以通过测量来解码数据。 这种攻击不依赖缓存系统,也不需要手动将 EFLAGS 寄存器重置为攻击前的初始状态,这可能会使其更难检测或缓解。 在配备了 Intel Core i7-6700、i7-7700 和 i9-10980XE CPU 的机器上实现了这个侧信道。 在前两个处理器中结合其作为Meltdown攻击的侧信道,可以达到100%的泄漏成功率。
目前主要有Intel的VT-x和AMD的AMD-V这两种技术。其核心思想都是通过引入新的指令和运行模式,使VMM(Virtual-machine monitor)和Guest OS分别运行在不同模式(ROOT模式和非ROOT模式)下,且Guest OS运行在Ring 0下。通常情况下,Guest OS的核心指令可以直接下达到计算机系统硬件执行,而不需要经过VMM。当Guest OS执行到特殊指令的时候,系统会切换到VMM,让VMM来处理特殊指令。 1、Intel VT-x技术
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/155085.html原文链接:https://javaforall.cn
描述: Windows Time服务维护在网络上的所有客户端和服务器的时间和日期同步,而W32tm命令是设置windows操作系统时间同步与时间监控。
领取专属 10元无门槛券
手把手带您无忧上云