通过关注系统环境来检测沙箱或虚拟机。导致不运行恶意代码,而是运行其他无害的代码。RAM/CPU一般来说虚拟的内存和CPU的数量都是有限的,但是这里不建议加虚拟机的反调试,因为有时候我们去打项目的时候难...
01月04日27 views评论status
处理器
反虚拟机和反沙箱相关
01月04日27 views评论status
处理器
01月04日27 views评论status
处理器
CVE-2023-2598 io_uring内核提权分析
CVE-2023-2598 为 io_uring API 组件中的一处 OOB 漏洞,可越界读写物理内存。本文[1] 对提权利用方式进行分析,从 io_uring 的工作原理、Linux 内...
01月03日21 views评论struct
系统调用
免杀对抗-映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日21 views评论edr
ptr
记一次银狐病毒样本简单分析
暗魂攻防实验室 0x01 程序查壳 病毒文件为:2023年12月新发布-财会人员薪资补贴调整新政策所需材料.exe exe格式的文件是个windows可执行文件,检查是否加壳进行保护 yoda's P...
01月03日52 views评论dat
财会人员
微信消息撤回拦截:x64dbg反汇编实现揭秘
在数字世界中,信息传递的速度快如闪电,但也常常伴随着一些遗憾。微信作为我们日常生活中最常用的通讯工具之一,其撤回功能让许多人在发出信息后有了后悔的机会。然而,有时候我们却希望能够拦截这些即将被撤回的信...
01月03日30 views评论dbg
反汇编
浅析RDI-反射DLL注入
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:4596声明:仅供学习参考,请勿用作违法用途概念简介EDREDR技术不同于以往的基于边界、规则...
01月03日23 views评论location
rdi
系统调用总结(1)
系统调用简介什么是系统调用Windows系统调用使它们能够请求特定服务,例如读取或者写入文件,创建新的进程以及分配内存等等,我们之前使用的一些API都是R3层也就是用户层的API,比如VirtualA...
01月03日25 views评论memo
系统调用
映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日20 views评论edr
ptr
如何获取解码后的Shellcode以及使用Ghidra手动定位Shellcode和相关解密密钥的方法
探索Cobalt Strike shellcode是由编译后的可执行.exe文件加载情况,这将需要使用调试器(x64dbg)和静态分析(Ghidra)来执行完整的分析。 可执行文件是编译后的exe,包...
01月03日23 views评论shellcode
恶意软件
免杀|记一次cs样本免杀实践
原文首发在:奇安信攻防社区 https://forum.butian.net/share/2620 0x01 背景 从年初开始接触免杀,学习了很多理论;也在攻防项目中,分析了很多前辈们写的免杀马;感觉...
01月03日34 views评论shellcode
信息
C++ static关键字引发的思考
一基本用法在面向对象中的用法在类中,可以使用static关键字修饰成员函数和变量,被修饰后的函数或变量被称为静态成员函数或变量。它们属于整个类,不属于某一个对象,这意味着无需创建对象即可访问静态成员函...
01月02日21 views评论c++
关键字
工业控制互联网组态王软件漏洞测试验证与利用
WellinTech KingView 6.53 版本中的 HistorySvr.exe 中存在基于堆的缓冲区溢出漏洞。攻击者可借助对 TCP 端口 777 的超长请求执行任意代码,实现在 windo...
01月01日33 views评论king
组态
115