当安全研究人员谈论“无文件攻击”（Fileless Attack）时，通常指的是那些不依赖在磁盘上写入可执行文件的攻击技术。这类攻击的隐蔽性极强，因为传统杀毒软件和EDR产品严重依赖文件扫描。而在.NET框架中，有一个看似平凡无奇的类——System.IO.Compression.GzipStream，正悄然成为构建这类攻击的绝佳工具...

背景 1. 本地环境中部署了2台NTA（Suricata）接收内网12台DNS服务器的流量，用于发现DNS请求中存在的安全问题。近一段时间发现2台NTA服务器运行10小时左右就会自动重启Suricata进程，看了一下日志大概意思是说内存不足，需要强制重启释放内存。说起这个问题当时也是花了一些时间去定位。首先DNS这种小包在我这平均流量...