一个简单的病毒样本,病毒样本呈现了相对基础但具有潜在危害的汇编代码结构。从逐句分析汇编代码的角度来看,病毒的主要行为主要包括以下几个方面:01.内存操作接下来的汇编代码分析表明,通过将值1C(28)压...
01月14日12 views评论ptr
push
雷石|病毒样本分析
01月14日12 views评论ptr
push
01月14日12 views评论ptr
push
免杀|先锋马免杀分享
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
01月07日21 views评论ptr
shellcode
RCTF 2015 Pwn 200
RCTF 2015 Pwn 200 A x86_64 program without libc, and protected with NX and maybe ASLR. A stack overf...
01月05日9 views评论ptr
stack
Protostar学习笔记
Protostar学习笔记 正在学习二进制安全,经糖果牛介绍,知道了还有Protostar这么个好玩的东西。实际说来,Protostar是Exploit Exercise网站下四个供安全学习用的镜像之...
01月05日安全博客9 views评论protostar
ptr
技术文章翻译:PHP标准库中某双链表结构存在双重释放问题(CVE-2016-3132)
技术文章翻译:PHP标准库中某双链表结构存在双重释放问题(CVE-2016-3132) 原文: http://www.libnex.org/blog/doublefreeinstandardphpli...
01月04日18 views评论handler
ptr
免杀对抗-映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日21 views评论edr
ptr
映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日19 views评论edr
ptr
3环与0环通信-代码
3环与0环通信-代码 前言 在前面我们已经说了,在内核开发时,消息被封装成IRP,我们在写代码之前,先看一下IRP结构体的组成: kd> dt _IRP ntdll!_IRP +0x000 Ty...
12月26日21 views评论ptr
x
句柄表
什么是句柄?句柄是一种内核对象,当一个进程创建或者打开一个内核对象时,就会获得一个句柄,通过这个句柄就可以访问内核对象。而句柄并不是高2G内存,他是一个索引,通过这个所以我们可以在内核轻松找到对应的内...
12月20日32 views评论ptr
句柄
WINAXE FTP客户端 漏洞分析(二)
这个漏洞是K0师傅博客上复现过的漏洞之前在分析Windows漏洞的时候,我会非常依赖IDA的反编译,但如果漏洞触发的逻辑比较复杂,那分析出漏洞原因和漏洞触发点的过程会就会比较费力。这里完全利用wind...
12月13日安全文章174 views评论socket
漏洞分析
进程与线程-EPROCESSÐREAD&KPCR
_EPROCESS一个进程对应一个_EPROCESS,该结构体是一环的概念,三环为PEB。kd> dt _EPROCESSntdll!_EPROCESS +0x000 Pcb : _KPROCE...
12月12日12 views评论fast
ptr
二进制漏洞分析-12.华为TrustZone TEE_SERVICE_MULTIDRM漏洞(下)
二进制漏洞分析-1.华为Security Hypervisor漏洞二进制漏洞分析-2.揭示华为安全管理程序(上)二进制漏洞分析-3.揭示华为安全管理程序(下)二进制漏洞分析-4.华为安全监...
11月28日33 views评论ptr
ret
11