0x00 前言在前两篇的文章中,我们先是分析了红队基础设施架构,并指出构成的3大元素:ip和域名、C2工具、前置器,然后我们在第二篇文章中针对ip和域名的选择做了分享。这是第三篇,我们将是分析C2工具...
真功夫!OD调试DLL中的线程!
在逆向中,调试DLL一直是一道坎,而调试DLL中的线程Thread更是坎上加坎。我想如果你掌握了这个技能,应该可以到大公司的试水了。五一假期,有了一些时间,将前面的欠账补上...
端点安全系统针对APT攻击的实证评估(下)
写在前面:文章最后,对所有被测安全产品做了总结,大家可以直接查看结果,了解目前端点安全产品的能力情况。4.17 McAfee Endpoint Protection &nb...
MFC编写DLL窗口功能代码
一、在上节课内容上,添加两个按钮,并修改相应的属性值二、编写吃苹果的功能,双击按钮进入代码区void DTCK::OnBnClickedButton1(){ int pg = 0xbf1366; _a...
MFC创建带窗口的DLL
一、新建MFC动态链接库项目二、选择相应的地址及项目名称三、右击项目的资源文件,添加资源,选择DIalog四、右击新建的窗口,添加MFC类,点击确定,会自动生成一个头文件和一个cpp源文件五、回到项目...
记一次新型变种QakBot木马分析
本文为看雪论坛优秀文章看雪论坛作者ID:blck四1背景年初单位邮箱收到了一篇钓鱼邮件还有一个附件xlsb的文档,将宏命令提取出来,发现会从远程下载一个文件下载后将文件上传到杀毒网开始查杀,51...
无处不在的dll劫持
前言 dll劫持是比较经典,也是比较老的技术,但到目前位置依然能用。具体原理就是某些exe需要加载dll,而查找dll的目录顺序如下:应用程序所在目录;系统目录SYSTEM32目录;16位系统目录即S...
关闭驱动校验bypass dse
更多全球网络安全资讯尽在邑安全说明gdrv.sys 是技嘉的一个驱动,存在任意地址读写的漏洞(CVE-2018-19320),https://seclists.org/fulldisclosure/2...
记一次lpk劫持样本分析
样本概况样本基本信息MD5:304bbe0e401d84edf63b68588335ceb6SHA-1:8389fb0466449755c9c33716ef6f9c3e0f4e19c8SHA-256:...
Exploit Development: Browser Exploitation on Windows - CVE-2019-0567, A Microsoft Edge Type Confusion Vulnerability (Part 2) (译文)
0x00 简介 在第一篇文章中,我们介绍了ChakraCore exploit的开发环境,考察了JavaScript(更具体地说,Chakra/ChakraCore引擎)是如何管理内存中的动态对象的,...
内网渗透 -- NTLM 反射分析及土豆家族
目录 内网渗透 -- NTLM 反射分析及土豆家族 前置知识点 Windows SSP&SSPI SSPI和SSP如何工作 NTLM SSP 原理(NTLM 身份验证协议) Integrati...
滥用具备RWX-S权限且有签名的dll进行无感知的shellcode注入
0x00 前言 常规的shellcode注入一般是通过VirtualAllocEx,WriteProcessMemory 和 CreateRemoteThread 来实现的,但是这种方式是被安全软件重...
28