概述 在本文中,我们会探索句柄在windows内核中表现形式,帮助了解句柄在windows中的作用。通过调试与逆向内核代码的方式,介绍句柄是如何关联到内核对象,并在此基础上介绍一种利用句柄来保护我们的...
03月18日11 views评论句柄
进程
探索Windows内核系列——句柄,利用句柄进行进程保护
03月18日11 views评论句柄
进程
03月18日11 views评论句柄
进程
进程的注入探索
前言涉及的技术不完善,个人在学习过程中注入深水中的内容,文章的内容涉及到流程注入基础,将通过文章自动获取流程的Pid、加载、导入表的基本处理、底层源码等,过程中需要理解的部分,我会隐含言简意赅。0x0...
07月10日40 views评论shellcode
内存
[Rev赛题复现]DASCTF Apr X FATE 2022
本文为看雪论坛精华文章看雪论坛作者ID:t0hka1总共4题,贴了3题,还有一道go逆向的直接看这位师傅的吧。(https://bbs.pediy.com/thread-273162.htm)Crac...
06月25日29 views评论id
加密
2021HW参考 | windows安全事件id汇总
Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。ID安全事件信息1100事件记录服务已关闭1101审计事件已被运输中断。1102审核日志已清除1104安全日志现已满1105事件日...
05月16日559 views评论对象
应用程序
从中科实数看内存取证
点击蓝字 · 关注我们前言师兄昨天开了一个公开课讲取证,之前接触取证比较少,去听了一下,接触到了内存取证。感觉除了取证中可以用到,病毒分析和应急响应中也可以用这个方法来分析。相关知识下面列几个vola...
05月01日31 views评论windows
注册表
PC端恶意代码分析Lab13.1-3:隐藏行为拓展
点击蓝字 · 关注我们前言恶意代码分析是安全从业人员非常重要的一个技能。之前提到过SSDT hook隐藏和PEB断链隐藏,今天接触一下其他的。参考书籍:<<恶意代码分析实战>>...
04月22日43 views评论windows
函数
Windows内核-句柄
本文为看雪论坛精华文章看雪论坛作者ID:SnA1lGo概述进程的地址空间分为系统空间和用户空间,内核对象都保存在系统空间中,用户空间不能通过地址作为指针来引用它们,Windows使用句柄(han...
04月19日45 views评论windows
进程
如何使用Auto-Elevate实现UAC绕过和权限提升
关于Auto-Elevate Auto-Elevate是一款功能强大的Windows系统安全测试工具,该工具可以在不需要离邕任何LPE漏洞的 情况下,通过结合COM U...
04月19日54 views评论exe
工具
免杀基础之一文学废PE文件格式
前言 PE文件的全称是Portable Executable ,意为可移植的可执行文件,常见的有EXE,DLL,SYS,COM,OCX,PE文件是微软Windows操作系统上的程序文件。 简单来理解,...
04月16日94 views免杀基础之一文学废PE文件格式已关闭评论内存
地址
洞见简报【2022/4/13】
2022-04-13 微信公众号精选安全技术文章总览洞见网安 2022-04-13 0x1 gitlab漏洞系列-服务台电子邮件泄露迪哥讲事 2022-04-13 22:26:28gitla...
04月14日安全新闻103 views评论漏洞
自定义
KnownDll Herpaderping实现无文件进程注入
前言本文是对 Windows Process Injection: KnownDlls Cache Poisoning的整理学习,并与Herpadering技术结合实现无文件注入。01 什么是Know...
03月30日573 views评论ctor
dll
利用本地RPC接口的UAC Bypass
AppInfo是一个本地RPC服务,其接口ID为201ef99a-7fa0-444c-9399-19ba84f12a1a,AppInfo 是 UAC 提升的关键。ShellExecuteEx()通过 ...
03月17日103 views评论rpc
进程
5