:首发先知社区:https://xz.aliyun.com/t/14295首发作者:qianlan前言此次分析的样本从威胁情报渠道获取,经过同源分析关联到APT组织SideWinder使用的后门War...
红队战术 – DLL代理加载
这篇文章主要讨论了DLL代理加载技术,它是一种用于加载任意DLL并将其导出函数与合法DLL相同的函数进行转发的方法。这个技术通常被用作DLL劫持的一种更隐蔽的替代方式,以确保二进制文件的正常执行,而不...
劫持version.dll 添加用户
核心代码由AheadLib工具生成,很多软件存在version.dll 劫持问题。 1234567891011121314151617181920212223242526272829303132333...
【工具推荐】比Everything弱一点的自动化白加黑工具(灰梭子)
(灰梭子)功能预览 白加黑是二进制免杀中比较常见的技术手段,平时在找白文件的时候,难免会手动的补全dll,然后进行导出函数的声明,最后进行测试。如果是想快速挖掘,没有顺手的工具是万万行不通的,最近翻箱...
免杀那点事儿之导出函数过主动(三)
声明:蓝极战队公众号只创作原创技术文章,转载请注明出处!!!在安全厂商的主动防御中,都会去检测可执行程序的行为,其中可执行程序调用的API尤为重点检测,比如一些VirutalAlloc/Ex的高危函数...
数据库攻防学习
免责声明 本文仅供学习和研究使用,请勿使用文中的技术用于非法用途,任何人造成的任何负面影响,与本号及作者无关。 Redis 0x01 redis学习 在渗透测试面试或者网络安全面试中可能会常问redi...
关于DLL劫持死锁的问题
有时候挖掘白名单的时候会发现在DllMain中编写的loader或shellcode无法执行这个原因和解决方式我们来解决一下:当DLL被加载到进程中的时候,DllMain函数在同步锁内执行,比如exp...
微软白程序DLL劫持
如下用到的白程序回复20231212获取如下这个白程序:可以看到是微软的签名。导出函数如下:extern "C" __declspec(dllexport) int GetInstallDetails...
x64dbg调试64位dll恶意文件
在对恶意文件分析的过程中,除了大部分情况下Windows平台里会遇到的exe可执行文件外,同样也会存在一些dll文件。而众所周知,ollydbg只能调试32位架构的程序,所以对于64位架构的恶意dll...
恶意代码学习-动态技术分析
第三章动态分析 需要xp sp3环境 其他的都是坑(我已经踩了两天)1.沙箱2.运行恶意dllrundll32.exe dllname,函数名字3.进程监视器 process monitor4.进程浏...
webpack是什么
@TOC webpack是一个现代 JavaScript 应用程序的静态模块打包器(module bundler),通俗来讲,我的理解就是把你在加解密过程中要调用的模块打包成为一个JS文件,然后引入它...
巧用cpl文件维权和免杀
文章首发先知社区:https://xz.aliyun.com/t/9957 前言 最近无意间发现了cpl文件,之前对该类型的文件了解几乎为零,由于触及到我的知识盲区,于是决定探究。 cpl文件 CPL...