介绍前段时间,我在调试一个不相关的项目时,无意中发现了PE文件中一些有趣的行为。我注意到,将SectionAlignmentNT 标头中的值设置为低于页面大小 (4096) 的值会导致图像映射到内存的...
06月26日38 views评论pe
内存
滥用未记录的功能来欺骗 PE 节标题
06月26日38 views评论pe
内存
06月26日38 views评论pe
内存
逆向分析010 editor
逆向分析010 editor 0x01 什么是010 editor 010 Editor 是一款专业的文本编辑器和十六进制编辑器,旨在快速轻松地编辑计算机上任何文件的内容。该软件可以编辑文本文件,包括...
06月25日23 views评论x
程序
Abuse MS-SCMR in BYOVD
失踪人口回归,最近总算是稳定下来了,分享一篇知识星球的存货。 0x00 介绍 vulnerable driver在攻防中的场景大致就两种利用: 修改DSE BYOVD是将存在漏洞的合法驱动投递至目标系...
06月22日程序逆向11 views评论edr
river
Tsunami DDoS 恶意软件分析
关注我们 | 发现更多精彩内容 AhnLab 安全紧急响应中心 (ASEC) 最近发现了一个攻击活动,其中包括在管理不善的 Linux SSH 服务器上安装 Tsunami DDoS Bot。威胁者不...
06月22日67 views评论恶意软件
服务器
Tcache attack
tcache bin 基础tcache机制是glibc 2.26之后引入的一种技术,它提高了堆管理器的性能,但是舍弃了很多的安全检查,所以有多种利用方式,现在的题目一般都基于更新版本的libc,tca...
06月21日6 views评论entry
struct
在ShellCode里面使用异常处理(Win64位平台)
网上关于ShellCode编写的文章很多,但介绍如何在ShellCode里面使用异常处理的却很少。笔者前段时间写了一个ShellCode,其中有一个功能是内存加载多个别人写的DLL插件,然后调用里面的...
06月20日15 views评论entry
shellcode
RogueRobin木马深度分析(DarkHydrus APT)
第一阶段:Excel文档【Dropper】 MD5: 8DC9F5450402AE799F5F8AFD5C0A8352该恶意软件的第一阶段是一个带有 的 excel 文档macro,它要求单击Enab...
06月19日23 views评论powershell
文档
Arm裸机程序分析
一前言在很多时候,程序在实际运行的时候是没有操作系统的,属于裸机运行模式,在Linux中无法直接运行。因此,这个时候就需要使用其他的方式进行分析。以一道ctf题目为例子,来学习一下ARM架构的裸机程序...
06月18日23 views评论内存
地址
聊聊大厂设备指纹其二&Hunter环境检测思路详解
一 前言 之前这篇文章(https://bbs.kanxue.com/thread-273759.htm)介绍了设备指纹基础对抗思路和原理,很多都是基础部分。这一篇将更详细的介绍一些常见的检测思路和方...
06月16日102 views评论id
篇文章
滥用未记录的功能来欺骗 PE 部分标题
介绍 前段时间,在调试一个不相关的项目时,无意中发现了PE文件中一些有趣的行为。我注意到将SectionAlignmentNT 标头中的值设置为低于页面大小 (4096) 的值会导致图像映射到内存的方...
06月16日5 views评论v
内存
常用的Linux Hooking技术总结
01钩子函数在程序中预定义好的钩子,在需要的时候,将 hook 函数挂接或者注册(register)到钩子里,使得对目标可用。如果没有钩子,也可以获取函数指针,对函数进行封装,但视乎只能挂接在函数运行...
06月16日程序逆向11 views评论__
函数
【CTF】反调试入门篇——花指令
花指令花指令是一种反静态调试的最基础手段(对于动态调试来说就没有用处),我们可以通过在程序的代码中添加一些不影响程序运行的垃圾机器码,进而影响反汇编结果的准确性,达到程序保护的目的。花指令分类1、可执...
06月16日119 views评论label
硬编码
120