程序逆向 - 第 151 | CN-SEC 中文网

程序逆向

【Myhex的过滤条件】

来源：https://flowus.cn/share/a4740dbd-a371-4c2a-9657-8643262fe96a喜欢X-Ways/Winhex的人，一定对文件过滤情有独钟。在所有取证软件...

06月02日51 views评论

阅读全文

程序逆向

【技术分享】HEVD池溢出分析

环境准备Win 10 64位主机 + win 7 32位虚拟机Windbg：调试器VirtualKD-3.0：双击调试工具InstDrv：驱动安装，运行工具HEVD：一个Wi...

06月01日48 views评论

阅读全文

程序逆向

浅析cobaltstricke原生exe

1.Cobaltstricke生成原生exe，直接点击上线这里会去访问我们C2服务器的一个地址，如下：访问C2的地址查看内容，内容看不懂利用OD，断API——HttpOpenRequestA为什么要断...

06月01日37 views评论

阅读全文

程序逆向

mimikatz源码免杀初探

在先知看到一篇文章失败mimikatz源码免杀和成功的免杀Windows Defender，文章发表于22.01.24，但是在二月份根据文中方法学习时发现文中介绍的去特征已经失效，于是结合...

05月31日195 views评论

阅读全文

程序逆向

一种禁用驱动程序强制签名的技术

更多全球网络安全资讯尽在邑安全如今，代码签名证书的泄露和针对驱动程序的漏洞利用已经成为司空见惯的事情，内核已经成为攻击者新的狩猎场。随着微软推出基于虚拟化的安全（VBS）和管理程序代码完整性（HVCI...

05月31日103 views评论

阅读全文

程序逆向

Unix后门Tiny SHell工具浅析

0x00 TSH简介Tiny SHell即TSH是Orange于8年前开发的一款开源的UNIX后门工具，由C编写，体积Tiny。支持功能：正向/反向连接模式；文件传输；加密通信；地址：https://...

05月30日740 views评论

阅读全文

程序逆向

利用 LLVM 攻击 VMProtect 代码混淆（下）

这篇文章将介绍 7 个自定义通道，一旦添加到优化管道中，将使整个 LLVM-IR 输出更具可读性。一些词汇将用于不受支持的指令提升和重新编译主题上。最后，将显示 6 个去虚拟化函数的输出。自定义通道...

05月30日31 views评论

阅读全文

程序逆向

linux驱动系列之arm汇编

在arm平台学习linux时，会遇到arm汇编指令，arm汇编指令与8086汇编指令很多地方都不同，在此记下来以免后面忘了，同时在学习了汇编指令之后分析一些汇编指令编写的代码...

05月30日13 views评论

阅读全文

程序逆向

远控免杀专题(14)-AVIator(VT免杀率25/69)

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！本专题文章导航1、远控免杀专题(1)-基础篇：https://mp.wei...

05月29日121 views评论

阅读全文

程序逆向

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

05月29日25 views评论

阅读全文

程序逆向

一文读懂PE文件签名并手工验证签名有效性

本文为看雪论坛精华文章看雪论坛作者ID：Hacksign本文是《一文读懂对称加密、非对称加密、哈希值、签名、证书、https之间的关系》（https://debugwar.com/art...

05月27日180 views评论

阅读全文

程序逆向

一个C#勒索样例的温习分析

最近碰到一个勒索病毒的现场。上周日对病毒程序进行了分析，是C#的，费了点劲，总体感觉不得劲，有点怪怪的摸不着头脑，可能是手生的缘故吧。今天也是巧...

05月26日76 views评论

阅读全文

【Myhex的过滤条件】

【技术分享】HEVD池溢出分析

浅析cobaltstricke原生exe

mimikatz源码免杀初探

一种禁用驱动程序强制签名的技术

Unix后门Tiny SHell工具浅析

利用 LLVM 攻击 VMProtect 代码混淆（下）

linux驱动系列之arm汇编

远控免杀专题(14)-AVIator(VT免杀率25/69)

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

一文读懂PE文件签名并手工验证签名有效性

一个C#勒索样例的温习分析

在线咨询

微信