shellcode 是什么?shellcode-wiki“代码也好数据也好只要是与位置无关的二进制就都是shellcode。”为了写出位置无关的代码,需要注意以下几点:不能对字符串使用直接偏移,必须将...
05月12日8 viewsdata
dll
windows评论
ASM编写简单的Windows Shellcode思路总结
05月12日8 viewsdata
dll
windows评论
05月12日8 viewsdata
dll
windows评论
识别和分析 shellcode的一些方法
五一期间,分析那个木马的过程中(见上一篇,它其中的是InInitializationOrderModuleList,见下图)就碰到了通过PEB_LDR_DATA链的InMe...
05月10日52 viewsapi
shellcode
内存评论
记一次新型变种QakBot木马分析
本文为看雪论坛优秀文章看雪论坛作者ID:blck四1背景年初单位邮箱收到了一篇钓鱼邮件还有一个附件xlsb的文档,将宏命令提取出来,发现会从远程下载一个文件下载后将文件上传到杀毒网开始查杀,51...
05月01日12 viewsdll
dump
ida评论
免杀技巧之API动态调用技术
什么是动态加载?简单的来说就是自己找到LoadLibary以及GetProcAddress函数来自行加载函数以及dll。通常在shellcode编写中使用。前置知识了解在RING3下FS寄存器指向TE...
03月08日73 viewsadd
eax
kernel评论
cs上线-自定义powershell参数污染-bypass杀软
目录: 一:原理 二:实验步骤 三:免...
02月26日75 viewsclass
powershell
root评论
【技术分享】从学习Windows PEB到Hell's Gate
前言地狱之门技术相对来说已经算比较老的技术了,各种Dinvoke的框架中实际上也是借鉴了这种思路,最近这段时间想要研究下一些其他绕过AV/EDR的常见手段,其中就包括系统调用(syscal...
02月14日63 viewsx
技术
进程评论
详解七句汇编获取Kernel32模块地址
本文为看雪论坛优秀文章 看雪论坛作者ID:瑞皇 学习壳的过程中,为了获取了Kernel32的基址的代码,在加密壳的时候直接使用。使用Onlydbg逆向截取到相应代码,当时的我无法理解这些代码。现在的我...
01月20日47 viewseax
kernel
word评论
原创干货 | 【恶意代码分析技巧】17-对抗检测分析
为了对抗安全工具和安全人员的检测分析,许多恶意代码都包含了对抗检测分析的功能。一方面,恶意代码使用各种技术检测当前的运行环境,判断自己是否正在被检测分析;另一方面,恶意代码还会使用各种混淆技术增加恶意...
05月06日28 views恶意代码
检测
进程评论
ShellCode生成框架
这里先写个简单的静态加载到exe文件中,明天再来写个动态的因为vs编译后自己会生成很多东西,我们稍微配置下先获取kernel32基址__declspec(naked) DWORD getKernel3...
11月07日148 viewseax
mov
__评论