一、打开软件,查看正常运行的程序二、打开IDA,选择Go,拖入要调试的程序,自动识别类型,点击OK即可三、在要修改的内容前,点击那个蓝点下断点,下断成功会变成红色四、选择Windbg deb...
【技术分享】代码指针完整性
控制流劫持攻击是当前较为主流的攻击方式之一,包括ROP、JOP等等。相应的缓解、防御措施则包括数据执行保护DEP、栈保护、地址随机化ASLR、控制流完整性CFI等等。以上措施是大家比较常见和常用的,也...
深入分析恶意软件HermeticWiper(下)
这是本系列文章中的下篇,我们将继续与读者一道,深入分析数据擦除型的恶意软件HermeticWiper。深入分析恶意软件HermeticWiper(上)(接上文)禁用影子副本删除影子副本是勒索软件的一个...
深入理解进程线程
进程 进程结构体 在操作系统层面上,进程本质上就是一个结构体,当操作系统想要创建一个进程时,就分配一块内存,填入一个结构体,并为结构体中的每一项填充一些具体值。 而这个结构体,就是EPROCESS。每...
在Windows 11内部预览版中,KUSER_SHARED_DATA结构体发生了哪些新变化?(下)
在本文中,我们将为读者详细介绍在Windows 11内部预览版中,KUSER_SHARED_DATA结构体发生了哪些新变化。下面,我们开始进入本文的下篇部分!(接上文)知道了这些,我们就会明白:在调用...
免杀技巧之API动态调用技术
什么是动态加载?简单的来说就是自己找到LoadLibary以及GetProcAddress函数来自行加载函数以及dll。通常在shellcode编写中使用。前置知识了解在RING3下FS寄存器指向TE...
【技术分享】从学习Windows PEB到Hell's Gate
前言地狱之门技术相对来说已经算比较老的技术了,各种Dinvoke的框架中实际上也是借鉴了这种思路,最近这段时间想要研究下一些其他绕过AV/EDR的常见手段,其中就包括系统调用(syscal...
BeaconEye分析以及Bypass思考
0x01 核心原理BeaconEye的核心原理是通过扫描 CobaltStrike中的内存特征,并进行 BeaconConfig扫描解析出对应的 Beacon信息,项目地址是https://githu...
7