本期作者/牛杰概述TLS 回调来执行有效负载,而不在远程进程中生成任何线程。此方法受到无线程注入的启发,因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入...
调用栈欺骗技术
前言2023年10月6日,Bobby Cooke和Dylan Tran联合发表了一篇名为Reflective call stack detections and evasions1文章,深入探讨了调用...
一个免杀Windows defender的小技巧
目前很多免杀做法都是采用XOR加密的方式,很XOR容易被发现,不管你XOR的key有多长,而且像Yara这种都是支持XOR逻辑检测的。所以采用其他的方式加密payload/内存会更好,这里推荐一个Wi...
利用自定义堆栈进行 Shellcode 开发
1. 概述 最近学习了下 BRC4 作者1月发表的博客 Hiding In PlainSight - Indirect Syscall is Dead! Long Live Custom Call S...
EMET下EAF机制分析以及模拟实现
本文为看雪论坛优秀文章看雪论坛作者ID:修竹kirakiraEAF机制分析报告简单分析了一下EAF机制,主要是参考了一下github上面的项目然后自己重写了一个EMET模拟程序,这是EAF的分析部分。...
讲义,水文章。。。
Fridahttps://frida.re/使用 Frida 生成新进程frida c:windowssystem32notepad.exe附加到现有进程frida -p 10964hook.js:以...
PE加载过程 FileBuffer-ImageBuffer
本文为看雪论坛优秀文章看雪论坛作者ID:愿风载尘一FileBuffer到ImageBuffer常见的误区1.文件执行的总过程我们知道一个硬盘上的文件读入到内存中(FileBuffer),是原封不动的将...
深入注册表监控
前言 注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了CmRegisterCallback这个回调函数来实...
深入注册表监控
前言 注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了CmRegisterCallback这个回调函数来实...
高级逆向分析技术
高级逆向分析技术前言继续学习《逆向工程核心原理》,本篇笔记是第六部分:高级逆向分析技术,包括TLS、TEB、PEB、SEH和IA-32指令等内容一、TLS回调函数TLS(Thread Local St...
mimikatz wdigest功能分析与调试
mimikatz wdigest功能分析与调试 前言 lsass.exe 不能直接使用进程附加调试,所以要先进入内核态,再切换到用户态进行调试。 实验步骤 1、进入内核态 2、!process 0 0...
深入注册表监控
前言 注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了CmRegisterCallback这个回调函数来实...