本期作者/牛杰前言是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试,以了解其...
01月14日199 views评论反调试
调试器
反调试技术-下
01月14日199 views评论反调试
调试器
01月14日199 views评论反调试
调试器
ttEncrypt算法的简单分析
一分析总结花了几个小时快速分析的,所以并未能的完全的分析他的整个流程,只能是通过一些快速分析的手段进行快速的定位以及验证!到最后才发现他的整个基本都是这个样子比如一开始的JNI_OnLoad方法,有空...
01月14日24 views评论.so
crypto
挂钩Sleep函数绕过BeaocnEye
为什么要挂钩Sleep函数?因为杀软不是一直在扫描内存,所以我们可以在Cobalt Strike的睡眠期间进行堆栈加密来避免杀软扫到我们的恶意载荷。先来看效果:如下这是我们loader程序,我们运行起...
01月14日22 views评论sizeof
thread
免杀 | 卡巴斯基引擎另类免杀玩法
## 卡巴斯基引擎另类免杀玩法 Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。 #### 项目地址: https://github.com/9e...
01月12日33 views评论shellcode
卡巴斯基
超级混淆!用 IDA 的控制流图来画图!
项目介绍大家好!欢迎来到最让逆向工程师痛恨的工具——Artfuscator!这个项目是基于ELVM工作的诅咒级C编译器。它能把C代码转换成一个控制流图,而这个图形式上竟然是任意你选的图片!🖼️看看这个...
01月12日257 views评论ida
逆向工程
实战 | 一文教你如何逆向(二)
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!公众号现在只对常读和星标的公众号才展示大图推送,建议大家把 明暗安全 设为星标,否则可能就看不到啦!1.漏洞背景继续接上次,我们...
01月11日24 views评论函数
加密
Windows驱动中校验数字签名(使用 ci.dll)
一背景对于常规应用程序来说,校验数字签名在在应用层可以使用 WinVerifyTrust, 在驱动层使用常规的 API无法使用,自己分析数据又太麻烦。但在内核中 ci.dll 包装了数据签名验证相关的...
01月10日12 views评论river
struct
逆向分析 160个CrackMe五星052
最近正在刷pwn和CrackMe,看到了一个160集合感觉不错,这5星级的还是挺有意思的,故分析发文。参考160个CrackMe破解思路合集(https://bbs.kanxue.com/thread...
01月08日11 views评论ida
逆向分析
免杀那点事儿之导出函数过主动(三)
声明:蓝极战队公众号只创作原创技术文章,转载请注明出处!!!在安全厂商的主动防御中,都会去检测可执行程序的行为,其中可执行程序调用的API尤为重点检测,比如一些VirutalAlloc/Ex的高危函数...
01月07日21 views评论shellcode
导出函数
免杀|先锋马免杀分享
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
01月07日22 views评论ptr
shellcode
免杀对抗-宏免杀
CS生成宏&上线生成宏1.cs生成宏,如下图操作2.点击复制宏代码,保存下来cs上线注:如下操作使用的是word,同样的操作也适用于Excel1.新建一个word文档,使用word打开。点击文...
01月07日15 views评论doc
vba
API挂钩-Windows API
简介在windows API中SetWindowsHookEx函数是可以用于API挂钩的,它主要用于跟踪某些类型的系统事件,它和之前那几个项目不同的是SetWindowsHookEx API不会修改函...
01月06日20 views评论详细信息
请参阅
115