本公众号技术文章仅供参考!文章仅用于学习交流,请勿利用文章中的技术对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。(为什么这篇是二,因为一还没准备好...
内存休眠时混淆技术一:相识
内存休眠时混淆前言2021年八月份cobalt strike发布的4.4版本中介绍了sleep mask/unmask技术,也就是内存休眠时加解密技术,可以加解密beacon的数据段和代码段,在一个月...
shellcode免杀分享
原文首发在:奇安信攻防社区 https://forum.butian.net/share/2530 作者:凝 先看效果(文中附源码) 思路 1.shellcode自身免杀 首先cs生成一个bin文件 ...
如何获取解码后的Shellcode以及使用Ghidra手动定位Shellcode和相关解密密钥的方法
探索Cobalt Strike shellcode是由编译后的可执行.exe文件加载情况,这将需要使用调试器(x64dbg)和静态分析(Ghidra)来执行完整的分析。 可执行文件是编译后的exe,包...
免杀|记一次cs样本免杀实践
原文首发在:奇安信攻防社区 https://forum.butian.net/share/2620 0x01 背景 从年初开始接触免杀,学习了很多理论;也在攻防项目中,分析了很多前辈们写的免杀马;感觉...
Bypass AntiAV shellcode加载器
工具简介 这是一个基于纯汇编语言绕过动/静态检测的Shellcode Loader,也可以直接当做免杀使用,使用了2048位秘钥的RSA进行防止逆向,可以有效避免被溯源,当然,需要携带秘钥作为启动参数...
如何使用ModuleShifting测试Module Stomping和Module Overloading注入技术
关于ModuleShiftingModuleShifting是一款针对Module Stomping和Module Overloading注入技术的安全测试工具,该工具基于Python ctypes实...
多种基础Shellcode加载器
关注本公众号,长期推送漏洞文章免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章...
免杀 shellcode
ProcessOverwriting 的一种变体,用于在可执行文件的部分上执行 shellcodeProcess Stomping 是hasherezade 的 Process Overwriting...
回调函数执行Shellcode
回调函数就是一个被作为参数传递的函数。在C语言中,回调函数只能使用函数指针实现,说的简单点就是你去购物店里买东西,恰巧卖完了,店员告诉你货来了我通知你,在Windows系统中回调函数应用于各种场景,比...
x2Ldr!Nim免杀过某数字、某绒
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推...
69