本期作者/牛杰前言是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试,以了解其...
ttEncrypt算法的简单分析
一分析总结花了几个小时快速分析的,所以并未能的完全的分析他的整个流程,只能是通过一些快速分析的手段进行快速的定位以及验证!到最后才发现他的整个基本都是这个样子比如一开始的JNI_OnLoad方法,有空...
挂钩Sleep函数绕过BeaocnEye
为什么要挂钩Sleep函数?因为杀软不是一直在扫描内存,所以我们可以在Cobalt Strike的睡眠期间进行堆栈加密来避免杀软扫到我们的恶意载荷。先来看效果:如下这是我们loader程序,我们运行起...
免杀 | 卡巴斯基引擎另类免杀玩法
## 卡巴斯基引擎另类免杀玩法 Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。 #### 项目地址: https://github.com/9e...
超级混淆!用 IDA 的控制流图来画图!
项目介绍大家好!欢迎来到最让逆向工程师痛恨的工具——Artfuscator!这个项目是基于ELVM工作的诅咒级C编译器。它能把C代码转换成一个控制流图,而这个图形式上竟然是任意你选的图片!🖼️看看这个...
实战 | 一文教你如何逆向(二)
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!公众号现在只对常读和星标的公众号才展示大图推送,建议大家把 明暗安全 设为星标,否则可能就看不到啦!1.漏洞背景继续接上次,我们...
Windows驱动中校验数字签名(使用 ci.dll)
一背景对于常规应用程序来说,校验数字签名在在应用层可以使用 WinVerifyTrust, 在驱动层使用常规的 API无法使用,自己分析数据又太麻烦。但在内核中 ci.dll 包装了数据签名验证相关的...
免杀那点事儿之导出函数过主动(三)
声明:蓝极战队公众号只创作原创技术文章,转载请注明出处!!!在安全厂商的主动防御中,都会去检测可执行程序的行为,其中可执行程序调用的API尤为重点检测,比如一些VirutalAlloc/Ex的高危函数...
免杀|先锋马免杀分享
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
免杀对抗-宏免杀
CS生成宏&上线生成宏1.cs生成宏,如下图操作2.点击复制宏代码,保存下来cs上线注:如下操作使用的是word,同样的操作也适用于Excel1.新建一个word文档,使用word打开。点击文...
API挂钩-Windows API
简介在windows API中SetWindowsHookEx函数是可以用于API挂钩的,它主要用于跟踪某些类型的系统事件,它和之前那几个项目不同的是SetWindowsHookEx API不会修改函...
115