程序逆向 - 第 15 | CN-SEC 中文网

程序逆向

DEC/RPC协议与Windows服务创建浅析（银狐原始进程隐匿方式之一）

该方法是在一个银狐家族的样本中发现的，通过构造RPC数据包并发送请求至对应的RPC服务，能够绕过多个终端安全软件对CreatServices、NrdClientCall3等3环函数的Hook，从而规避...

01月26日9 views评论

阅读全文

程序逆向

恶意样本分析环境搭建以及工具介绍

安全分析与研究专注于全球恶意软件的分析与研究工欲善其事，必先利其器，恶意样本分析一般都是在虚拟机环境下进行分析调试的，因为需要对样本进行行为分析和动态调试，这一节我就教大家如何搭建一个恶意样本分析环境...

01月26日15 views评论

阅读全文

程序逆向

简单的反调试技术实现

反调试技术非常多，这里只是简单测试了几种在Windows 11上仍有效的方法，更多方法请参考：Anti-Debug Tricks https://anti-debug.checkpoin...

01月26日4 views评论

阅读全文

程序逆向

IDA技巧（104）立即数搜索

立即数搜索是IDA中三种主要搜索类型之一。虽然不太为人所知，但在某些情况下非常有用。以下是一些例子。独特（魔法）常量如果你知道程序中使用的一些独特常量，寻找它们可以让你缩小需要分析的代码范围。例如，如...

01月26日26 views评论

阅读全文

程序逆向

可绕过安全保护机制的7zip代码执行漏洞及Poc

漏洞介绍 7-Zip文件压缩软件中的一个高危漏洞允许攻击者绕过Windows的Mark of the Web（MotW）安全功能，并在用户从嵌套压缩包中提取恶意文件时在其计算机上执行代码。 7-Zip...

01月25日25 views评论

阅读全文

程序逆向

大众DP BR X8跳转清理 & a5分析

本文尝试静态分析和利用frida来分析mtgsig参数。分析过程定位算法的步骤这里就省略了，直接从一个hook结果开始分析：mtgsig = { "a0": "3.0", "a1": "4069cb7...

01月25日9 views评论

阅读全文

程序逆向

缓冲区溢出到getshell提权

页面前端修改打开Web页面 F12修改前端输入限制为3000 测试溢出长度 python生成数据，复制 print('A' * 800) 将脏数据粘贴到User Name 结果程序崩溃...

01月25日6 views评论

阅读全文

程序逆向

游戏辅助的隐藏威胁｜传播于游戏论坛的Catlavan后门分析报告

随着网络游戏用户规模的扩大，针对游戏的外挂和辅助灰产业日益壮大。与此同时也有不少木马团伙利用外挂辅助传播木马，此前腾讯云安全威胁情报中心已发现多起通过外挂传播恶意木马的案例。2024年BinaryAI...

01月22日10 views评论

阅读全文

游戏数据安全——论各大防封手段

PS：本文仅供交流学习维护绿色游戏环境从你我做起/狗头-本文以热门FPS游戏《和平精英》为例子- 游戏辅助有很大市场，也就说明号没了了的更多，于是“防封”就开始进入了红信玩家事业大家可以看到...

01月22日程序逆向14 views评论

阅读全文

程序逆向

魔改MD5 后续分析

算法的流程等信息都发布在上一篇文章了https://mp.weixin.qq.com/s/drFL4bR2mucUwE9Gp2zseg 但是上次在本地没有算出来一样的值，本文进行补充上...

01月22日47 views评论

阅读全文

浅谈恶意样本の反沙箱分析

原文首发在：奇安信攻防社区https://forum.butian.net/share/4050说实话单纯的静态免杀其实不是很难，只要通过足够新颖的加壳手段就能够成功将木马加载到内存中，但是抵御不了蓝...

01月21日程序逆向15 views评论

阅读全文

程序逆向

面向脚本小子的360QVM

很多人用visual studio开发控制台应用程序的时候经常会遇见QVM。在本文中，我们将了解一些背后的原因以及缓解措施。基本概念AV/EDR 可能会使用多种不同的方法来分析二进制文件，以便对其做出...

01月20日12 views评论

阅读全文

DEC/RPC协议与Windows服务创建浅析（银狐原始进程隐匿方式之一）

恶意样本分析环境搭建以及工具介绍

简单的反调试技术实现

IDA技巧（104）立即数搜索

可绕过安全保护机制的7zip代码执行漏洞及Poc

大众DP BR X8跳转清理 & a5分析

缓冲区溢出到getshell提权

游戏辅助的隐藏威胁｜传播于游戏论坛的Catlavan后门分析报告

游戏数据安全——论各大防封手段

魔改MD5 后续分析

浅谈恶意样本の反沙箱分析

面向脚本小子的360QVM

在线咨询

微信