webshell静态免杀的一些思路 1.静态查杀绕过原理 顾名思义静态查杀就是杀软会检查webshell文件的内容,提取的文件特征将与已知的恶意模式进行比对。这些恶意模式可以是已知的病毒特征、恶意软件...
10月31日26 views评论webshell
代码
免杀|webshell静态免杀的一些思路
10月31日26 views评论webshell
代码
10月31日26 views评论webshell
代码
如何快速从 64 位转储文件中找到异常发生时的线程上下文
一前言经常做调试的朋友可能会遇到在windbg里通过k系列命令得到的调用栈没有太大参考意义。一般是由于线程上下文不对导致的。这时候可以通过!analyze -v让windbg自动帮我们分析出正确的调用...
10月30日8 views评论context
ntdll
x64内核-页机制的研究
CR4寄存器在白皮书的第三卷2.5章对控制寄存器有详细的介绍,下面是白皮书中CR寄存器的结构图(这里要说明一下cr4的第12位是由被使用的这个位在2.5章的后半部分有介绍是控制是否开启5级分页的位否则...
10月30日10 views评论sizeof
struct
二进制明文字符串加密:还原与反还原
上一篇文章介绍了xorstr的原理和最小化验证概念的代码,这篇文章来看下这种已经被广泛应用于各恶意样本以及安全组件中的技术如何还原,如果还没看上篇建议先看下了解其实现后再看本篇文章。一xorstr的现...
10月29日14 views评论enc
二进制
浅析evilhiding v1.0免杀
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:2146声明:仅供学习参考,请勿用作违法用途目录loader基础知识loader参数介绍evi...
10月27日26 views评论loader
shellcode
彻底理解PE文件的导入表
彻底理解PE文件的导入表 https://gitee.com/wochinijiamile/smartya/blob/master/asgdiuasge78aywujg12y3t1yiu23...
10月27日16 views评论安全工具
安全研究
他们想搞我,却被我溯源了(始)
在一个平静的下午,邮箱叮咚一声有个QQ邮件发了过来。打开邮箱一看,钓鱼邮件!还是熟悉的味道还是熟悉的配方!顿时来了兴致,抄起家伙准备溯源。按照链接下载了软件,直接双击管理员运行开撸!进行监控后发现这个...
10月25日66 views评论pe文件
压缩包
中断门&&陷阱门(提权)
中断门什么是中断门前面说到,Windows系统有调用门,调用门 可以直接进入0环,但是Windows并没有选择使用调用门,而是选择使用中断门。那么什么是中断门呢?再说中断门之前,我们要先介绍IDT表。...
10月24日30 views评论中断
描述符
Go逆向研究
基础信息 go语言默认采用静态编译的策略,这意味着各种标准库和第三方库包括runtime和gc都会被全静态链接构建,这导致go二进制文件较大,同时go函数调用约定,数据结构和栈管理策略非常特殊,而且...
10月23日29 views评论stack
struct
让逆向更接近源码——IDA重定义C++类对象技巧(逆向实战3)
我们在进入IDA反编译的函数后经常会看到如下情况,IDA确定传入了一个类对象地址,但是却没有解析该类对象。我们需要点击this指针变量,右键Reset pointer type,重新定义指针类型。重新...
10月23日141 views评论struct
反编译
技术分享 | ShellcodeLoader
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介ShellcodeLoader是一个包含多种shellcode注入方...
10月23日33 views评论loader
shellcode
滴水逆向-代码段间跳转
在Windows系统中,段寄存器有:CS、SS、ES、DS、FS、GS、TR、LDTR等。每个寄存器有4个属性:Selector 16位 (段选择子 可见部分)Atrributes 16位...
10月23日11 views评论cs
权限
120