关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:29085声明:仅供学习参考,请勿用作违法用途前言:感谢北秋风清/myzxcg提供的学习思路目...
03月19日33 views评论edr
section
免杀的艺术:浅谈驱动对抗EDR
03月19日33 views评论edr
section
03月19日33 views评论edr
section
反射 DLL 注入
本期作者/shadow在之前的文章中,通过模拟 Windows 映像加载程序的功能,完全从内存中加载 DLL 模块,而无需将 DLL 存储到磁盘上,但这只能从本地进程中加载进内存中,如果想要在目标进程...
01月20日13 views评论ptr
struct
绕过EDR探索系列一 | 用户模式HOOK
前言山石网科情报中心在分析狩猎样本时,对一些EDR对抗技术做了技术沉淀。该系列将由浅入深介绍EDR相关安全对抗技术。什么是 syscallWindows下有两种处理器访问模式:用户模式(user mo...
01月16日14 views评论edr
系统调用
免杀主题笔记(3)
新增节-添加代码现在有这么一个场景,如果我们需要添加的shellcode过大的话,那么就不能直接加在节区中了,因为空间可能会不够了。1.首先需要更改的是节的数量。将04改为05。2.复制一个现有的节表...
01月15日18 views评论pimage
rva
免杀对抗-映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日21 views评论edr
ptr
浅析RDI-反射DLL注入
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:4596声明:仅供学习参考,请勿用作违法用途概念简介EDREDR技术不同于以往的基于边界、规则...
01月03日21 views评论location
pimage
映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日19 views评论edr
ptr
【杀软对抗】Hook与UnHook基础
一、HookHook 说明:运行程序时杀软会检查敏感的 API 函数,如 OpenProcess、VirtualAllocEx、WriteProcessMemory 等。杀软常用的方式是在程序加载 A...
12月11日21 views评论iat
sage
PE-自实现拉伸运行dll
实现功能:不借助Windows将dll注入到本进程将dll进行拉伸并执行dll导出函数MemLoadDll.cpp文件:#include "stdafx.h"#include "MemLoadDll....
10月13日程序逆向9 views评论pimage
ptr
PE逆向-打印导入表
// 滴水三期3.27导入表.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include <iostream>#include <Windows.h...
09月25日31 views评论endl
pimage
DLL 注入
#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。...
09月22日程序逆向10 views评论pimage
section
PE逆向-移动重定向表
移动重定向表的步骤:* 在这里,我们要根据以下步骤移动* 1.先复制导出表的结构* 2.移动Functions表中的数据* 3.移动序号表中的数据* 4.移动name表中的数据 ...
09月22日9 views评论alignment
pimage