程序逆向 - 第 101 | CN-SEC 中文网

程序逆向

kcrypt--windows内核加密算法库

一前言 ◆kcrypt是一个用于windows内核和驱动编写的的加密库库中包含了常用的加解密算法。 ◆数字摘要包括MD4-MD5 SHA1-SHA512 对称加密包括DES 3DES AES RC4...

08月12日40 views评论

阅读全文

程序逆向

免杀技术之优雅地绕过函数调用链

本期作者/Gardenia使用场景在某次实践中碰到一个沙箱,在不知道沙箱强度的情况下只能一点点去探索,程序通过调用ShellCode弹出计算器。丢到沙箱里面进行测试发现被沙箱检测到并且爆出了执行She...

08月11日40 views评论

阅读全文

程序逆向

原创 | 深入解析pe结构（下）

数据目录表结构在可选PE头的最后部分拥有16个数据目录表，其结构如下typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //内存偏...

08月09日13 views评论

阅读全文

程序逆向

lokibot样本分析

火绒剑行为监控行为监控1.主程序在temp文件夹下释放frhdgr.exe2.并创建进程参数为 C:UsersxxxAppDataLocalTempfrhdgr.exe C:Usersx...

08月09日18 views评论

阅读全文

程序逆向

UPX 4.0.2 源码分析

因为最近一直在参加HW，在红队中学习到了很多新知识。加壳作为一个常用的免杀手段，我经常是知其然不知其所以然，因此打算自顶向下分析一下upx的源码，梳理整个程序运行的机制。本文将以最新版本 upx 4....

08月09日26 views评论

阅读全文

程序逆向

APT之旅 - PE蠕虫感染（捆绑马制作）(补)

前言本篇内容将讲解 PE 动态内容映射、PE 蠕虫（捆绑马）制作及其局限性。这篇文章昨天发过一次，后面有人提醒文章中不能出现原代码，所以我把文章删了，今天重发，删了原代码，想看原文和原代码的可以在星球...

08月07日35 views评论

阅读全文

程序逆向

解决PPL注入技术的bug

0. 前言上篇文章中我使用PPLDump在services.exe这个PPL级别为WinTcb-Light的进程中进行shellcode注入，并成功在诸如wininit.exe或MsMpEng.exe...

08月05日30 views评论

阅读全文

程序逆向

恶意样本分析精要及实践9-IDA使用（二）

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...

08月05日32 views评论

阅读全文

程序逆向

C2profile中的magic_mz_x86和magic_mz_x64

0x00 前言很久没更新公众号了，于是从星球里摘了一篇比较通俗易懂的文章，适合新手小伙伴。原文如下：周末写一个在线工具（后面会发布的），看见C2profile中magic_mz_*配置项，于是搜了搜，...

08月05日89 views评论

阅读全文

程序逆向

x64dbg调试64位dll恶意文件

在对恶意文件分析的过程中，除了大部分情况下Windows平台里会遇到的exe可执行文件外，同样也会存在一些dll文件。而众所周知，ollydbg只能调试32位架构的程序，所以对于64位架构的恶意dll...

08月05日145 views评论

阅读全文

程序逆向

iO(4) 构造Split-FHE

我们的出发点为了构造Split-FHE，我们先找到两个各自拥有其一部分特性的密码学组件：FHE和Split-LHE(这个方案最早是由Brakerski等人提出的)。FHE全同态加密是能够支持任意函数的...

08月05日28 views评论

阅读全文

程序逆向

黑莲花UEFI引导后门的漏洞分析

点击蓝字关注我们黑莲花UEFI引导后门的漏洞分析一 UEFI介绍 UEFI，全称Unified Extensible Firmware Interface，即“统一的可扩展固件接口”，是一种详...

08月03日181 views评论

阅读全文

kcrypt--windows内核加密算法库

免杀技术之优雅地绕过函数调用链

原创 | 深入解析pe结构（下）

lokibot样本分析

UPX 4.0.2 源码分析

APT之旅 - PE蠕虫感染（捆绑马制作）(补)

解决PPL注入技术的bug

恶意样本分析精要及实践9-IDA使用（二）

C2profile中的magic_mz_x86和magic_mz_x64

x64dbg调试64位dll恶意文件

iO(4) 构造Split-FHE

黑莲花UEFI引导后门的漏洞分析

在线咨询

微信