简单来说就是可以直接加载可读内存中的加密 ShellCode,不需要解密,不需要申请新的内存,也不需要改可执行权限。应用不仅仅在上线,上线后的各种功能都可以通过 ShellCode 实现1.查杀点现状...
逆向分析 160个CrackMe五星052
最近正在刷pwn和CrackMe,看到了一个160集合感觉不错,这5星级的还是挺有意思的,故分析发文。参考160个CrackMe破解思路合集(https://bbs.kanxue.com/thread...
01月08日11 views评论ida
逆向分析
记一次微信交流群内免杀木马分析以及溯源
关注本公众号,长期推送技术文章免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章...
01月04日12 views评论sage
反编译
不需要申请内存就能执行shellcode?
stomping注入简介除了上一篇发的那个映射注入之外,这次我们来看一下stomping注入,同样它也不会去使用相关安全厂商检测很重要的API,例如VirutalAlloc/Ex 等等。功能覆盖功能覆...
12月28日49 views评论shellcode
函数
为什么在ASLR机制下DLL文件在不同进程中加载的基址相同
一DLL 注入实现1.1 打开 Visual Studio 创建一个新的 DLL 项目。1.2 在"dllmain.cpp" 添加以下的代码。// dllmain.cpp : 定义 DLL 应用程序的...
12月18日20 views评论aslr
ssid
红蓝对抗-本地/远程DLL注入
0X00 前言 DLL注入,是向一个正在运行的进程注入代码的过程。我们注入的代码以DLL的形式存在。本文将DLL作为payload的用法,并演示如何在当前进程/远程中加载恶意DLL文件。 0X01 D...
06月27日18 views评论dll注入
module
通过隐藏导入表的方式规避杀软
本文转自先知社区:https://xz.aliyun.com/t/12035作者:刘*x前言在PE文件中,存在iat导入表,记录了PE文件使用的API以及相关的dll模块。编译一个MessageBox...
05月29日20 views评论module
句柄
关于几种hook的探究
1.用户层 Inline Hook x86两种方式jmp杀软常直接通过 jmp 来进行 hook,占 5 字节,但是需要进行计算,例:0x12345678 - 0x00401625...
04月03日38 views评论my
字节
利用C++配合msfconsole进行渗透测试
C++既可以进行C语言的过程化程序设计,又可以进行以抽象数据类型为特点的基于对象的程序设计语言。本文将为你讲解利用C++配合msf进行渗透测试。喜欢的话就收藏点赞吧!🐼一:制作对话框msfvenom&...
03月09日81 views评论c
windows
杂谈免杀
window API隐藏在PE文件中,存在iat导入表,记录了PE文件使用的API以及相关的dll模块。编译一个MessageBox文件,查看其导入表:...
02月23日81 views评论dword
ptr
SourceInsight 3.5版本的crack
现象分析通过行为分析,发现这个提示对话框应该是modal dialog性质的messagebox.在win32 api中,好像有doModalDialog和MessageBox的函数,由于界面相关操作...
02月20日40 views评论crack
对话框
浅析Window API Hook的原理与应用
0x0 前言 研究这个技术一开始主要是为了免杀的需要,后面我发现其实可以学到更多的东西,所以简单记录一下。0x1 什么是Window API?正如Windows API维基所描述:Windows操作...
01月09日44 views评论buf
windows系统