每日安全动态
-
利用xwizard.exe加载dll
http://www.4hou.com/technology/6969.html -
安全研究人员警告:超过1700台IoT设备和相关的telnet凭据已被泄露并公开放在网上
http://securityaffairs.co/wordpress/62365/iot/iot-devices-credentials-leaked.html -
Apple iOS <=10.3.1 - Kernel Exploit
https://www.exploit-db.com/exploits/42555/ -
大量服务器的登录凭证被PDF钓鱼泄露
http://www.ringzerolabs.com/2017/08/large-victim-credential-server.html
https://www.bilibili.com/video/av13897953/ -
AVPASS:可绕过Android恶意软件检测系统的工具
https://github.com/sslab-gatech/avpass/blob/master/docs/README.md每日代码分享
来源:
https://github.com/zerosum0x0/defcon-25-workshop
这里主要介绍了window后渗透以及恶意软件的开发中的一些trick,做免杀的童鞋可以重点关注一下
1.asynclog - basic keylogger using GetAsyncKeyState()
不同于使用钩子函数进行键盘的记录,这里使用了GetAsyncKeyState()做键盘记录,api函数在User32.dll中实现。
3.hooklog 挂钩WH_KEYBOARD_LL 事件 注意要区分WH_KEYBOARD 这里的LL是low level的缩写1
2
3
4
区别如下:
https://stackoverflow.com/questions/10718009/difference-between-wh-keyboard-and-wh-keyboard-ll
简单来说就是一个需要dll一个不需要dll.
这里可以通过代码了解windows的消息机制。
4.IGO pre-main execution with C++ initialization
我理解的就是在main函数执行之前,会进行初始化的操作,通过编译链接运行代码,可以发现还可以在main函数之前执行我们的代码,确实和平常我们一贯的思路不一样。
5.tlscallback pre-main execution with Thread Local Storage callback
|
|
6.importless - PE using WinAPI that has no imports
|
|
7.printscreen - takes a screenshot by simulation of printscreen keypress
模拟按键printscreen键,过360
8.screenshot - takes a screenshot using device context and GDI+
还是屏幕截图,利用的是device contest和GDI+,也是过360的
9.reverseshell - basic reverse TCP shell
这里通过tasklist命令查找不到相应进程pid的映像名称,而网络连接中是可以看到的。
10.passfilter - password complexity filter DLL with logging
通过dll注入当密码改变的时候保存修改后的密码。
11.locklogger - injects into winlogon.exe and keylogs
原文始发于微信公众号(格格巫和蓝精灵):20170828安全动态&&defcon-25-workshop代码解读
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论