双旦活动 2023/12/25-2024/1/1日联和活动第二弹(SCA御盾+WebSec):(1)未加入星球的师傅,只需158元即可加入 WebSec+SCA御盾星球与专属微信群,加入方...
API挂钩
简介API挂钩是一种可以拦截和修改Windows API行为的一种技术,比如现在很多成熟的EDR产品,都对R0或R3层的Windows API进行了HOOK操作,API挂钩一般使用自定义的API函数来...
IAT隐藏与混淆
简介在我们的导入表中有一些PE相关的信息,比如我们写了一个loader,里面有申请内存的操作,或者有文件读取的操作,这些函数都会在导入表中出现,为了避免蓝队分析我们的二进制文件,所以我们必须将这些函数...
AOSP源码定制-so注入并集成hook框架
AOSP源码定制-so注入并集成hook框架介绍最近研究so的hook相关,看到了一些文章,尝试配合修改系统源码进行so注入hook,配合sandhook框架对测试app进行hook。下面还是用AOS...
IcedID木马分析
招新小广告运营组招收运营人员、CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱[email protected](...
Windows Hypervisor Platform魔改版Unicorn Engine
这篇文章的目的是介绍基于Windows Hyper-V虚拟机平台Hypervisor Platform API实现的魔改版Unicorn Engine模拟器和调试引擎开发心得。简介跨平台模拟器unic...
映射注入
本文所有代码回复2023-12-26获取。简介针对于各大安全厂商对私有内存的监控,就是我们之前使用VirtualAlloc/EX来申请的内存,最后执行shellcode如下图是RWX的内存区域,里面是...
可执行文件的终极加壳器 - upx
01 项目地址https://github.com/upx/upx02 项目介绍UPX 是一个高级的可执行文件压缩器。UPX 通常会将程序和 DLL 的文件大小减少约 50%-70%,从而减少磁盘空间...
某go木马样本分析
Part1 样本微步分析 先将样本丢进微步沙箱。可以看到,样本报毒,并且有外联和虚拟机检测。 Part2...
逆向实战7-调试powershell程序从托管代码到非托管代码
目录导航1.powershell32查看pe信息2.找powershell的main入口3.运行与附加调用powershell4.powershell查看托管命令定义模块 5.启...
3环与0环通信-代码
3环与0环通信-代码 前言 在前面我们已经说了,在内核开发时,消息被封装成IRP,我们在写代码之前,先看一下IRP结构体的组成: kd> dt _IRP ntdll!_IRP +0x000 Ty...
模糊测试Windows二进制文件
简介 通过测试未开源Windows二进制文件来深入探讨灰盒模糊测试。这种类型的模糊测试允许人们在没有访问其源代码的情况下模糊目标。为什么要进行这种类型的模糊测试?由于它需要更多的设置和高级技能,很少有...
115