本期作者/牛杰概述TLS 回调来执行有效负载,而不在远程进程中生成任何线程。此方法受到无线程注入的启发,因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入...
进程创建
在C++中,有多种进程创建的方法 :WinExec、ShellExecute、CreateProcess、system、popen等,下面一一介绍并给出案例1. WinExecWinExec是一个过时...
Windows权限维持——利用动态补丁技术隐藏后门
01什么是动态补丁?动态补丁又称热补丁,是指目标PE处于活跃状态时(即进程)为其实施的补丁。一个完整的动态补丁一般需要具备以下四个要素:1.与其他进程通信的能力。2.良好的读写其他进程地址空间的能力。...
浅谈bypass Etw
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:19930声明:仅供学习参考,请勿用作违法用途目录c#ExecuteAssemblybypass etwc#loa...
滥用SVCHost的35种方法
svchost.exe是什么?svchost.exe是一个属于微软Windows操作系统的系统程序,它是从动态链接库(DLL)运行的服务的通用主机进程名称。为什么Windows使用svchost.ex...
免杀技术进程隐藏
1前言 目前的免杀技术,常规的进程执行很容易被受攻击方发现,为了尽可能的隐藏自己,在不利用驱动或者漏洞的情况下我们有用到的技术很少,这次我们就来讲一种可以...
远线程注入
简介有时为了方便对进程中的数据进行修改,我们需要将可执行的shellcode或者dll注入到目标进程中。注入技术有很多,比如:• 通过createRemoteThread和LoadLibra...
免杀必会- 规避杀软的库
点击上方“蓝字”,关注更多精彩前言在编写恶意软件时,我们时常会用到系统的一些库,库的使用是非常简单,好用的,只需要导入头文件,那么就可以使用相应的api或函数,但是如果用于免杀或者c2,但是在EDR和...
APC进程注入
什么是APCAPC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。MSDN解释为:相关函...
【续集】再次调戏勒索软件大黑客
首先为什么说再次调戏呢,因为这个大黑客之前已经被调戏过了一次,为什么会写这篇文章呢,因为这个叫Xiaoba的大黑客显然不服输,很快他开发了新的勒索软件,然后再次大肆传播。笔者呢,最近也闲着,而且继上次...