0x00 序言 首先祝各位师傅中秋节快乐!乌托邦送不起月饼,就给各位师傅推送一篇文章吧! 在2004年的Black Hat会议上,NGS(Next Generation Security)安全咨询公司...
异常问题汇总_sample_malaware_report
基本信息样本概述某天晚上朋友发了一个样本给我,说他们在前场发现了一个样本,但是自己从沙盒还有抓爆都没有发现C2,当时只是奔着快速解决问题的目的帮他迅速找出C2,所以没有做太多分析,正好有时间详细的分析...
R3层最后的倔强--权限切换
本文为看雪论坛优秀文章看雪论坛作者ID:kardpan一前言针对r3层的最强防御,应该就是自己实现调用r0的内核函数。不使用系统提供的API接口。这样能防御别人在导入函数的下断点,或者IAT HOOK...
【论文分享】DHCP与DNS交互中的隐私风险测量
今天分享的论文主题为DHCP与DNS交互中的隐私风险。该工作由来自荷兰特温特大学的研究人员完成。作者指出,当DHCP客户接入网络时,由于DHCP服务器会向DNS服务器创建反向DNS记录,用户的隐私存在...
利用Seagate service获得system shell
这是挖掘 CVE-2022-40286 漏洞的记录。闲来无事,我上网随便找了一个驱动来进行测试。我想找一个知名公司的产品,但是又不能是太偏太难懂的东西。我最先发现了一个叫"Seagate Media ...
patchless amsi学习
前言传统的通过patch内存AmsiScanBuffer,这个网上有很多文章,而且相对也比较简单,这里就不再解释了,但是patch这个动作势必会有一定的敏感性,比如你需要修改关键位置内存属性。本文要讲...
免杀 回调函数[EnumUILanguagesA]
前言上一篇用的是 EnumDateFormatsA ,接着之前的内容继续往下测试。正题EnumUILanguagesAEnumUILanguages 函数枚举系统上可用的 UI 语...
一条新的glibc IO_FILE利用链:_IO_obstack_jumps利用分析
前言 众所周知,由于移除了__malloc_hook/__free_hook/__realloc_hook等等一众hook全局变量,高版本glibc想要劫持程序流,离不开攻击_IO_FILE。而笔者近...
一条新的glibc IO_FILE利用链:_IO_obstack_jumps利用分析
点击蓝字 / 关注我们前言众所周知,由于移除了__malloc_hook/__free_hook/__realloc_hook等等一众hook全局变量,高版本glibc想要劫持程序...
TrickBot的木马分析-HEAVEN'S GATE
分析最近TrickBot的马时遇到了32位进程通过0x33段进入64位环境执行一段64位shellcode,直接让我放弃了用x32调试器继续调试的想法,指令、寄存器面目全非。以此开始了解了名为“HEA...
某免杀工具后门分析
最近网上看到某免杀exe生成工具存在后门找到样本来学习一下看看样本地址: https://s.threatbook.com/report/file/a737860a66bcd9228cc18...
记一次对vm保护的算法的快速定位
本文为看雪论坛精华文章看雪论坛作者ID:lxcoder在找sgmain相关资料时看到了这个贴子:https://bbs.pediy.com/thread-267741.htm之后对大佬使用的trace...
11