程序逆向 - 第 7 | CN-SEC 中文网

程序逆向

Windows PE文件格式详解（总结）

点击蓝字关注我们始于理论，源于实践，终于实战老付话安全，每天一点点激情永无限，进步看得见严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...

06月06日8 views已关闭评论

阅读全文

程序逆向

利用未公开特性伪造 PE 节区头

【翻译】Abusing undocumented features to spoof PE section headers 引言在一次调试无关项目时，我偶然发现了 PE 文件的有趣行为。当将 NT 头...

06月05日20 views评论

阅读全文

程序逆向

基于虚拟化技术的内存监控与逆向工程（很长）

【翻译】Hypervisors for Memory Introspection and Reverse Engineering免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮...

06月05日31 views评论

阅读全文

程序逆向

【免杀】C2免杀技术（十五）shellcode混淆uuid/ipv6/mac

针对shellcode混淆（Shellcode Obfuscation）的实战手段还有很多，如下表所示：类型举例目的编码 / 加密XOR、AES、RC4、Base64、Poly1305、UUID、IP...

06月05日30 views评论

阅读全文

程序逆向

IDA Pro + MCP 逆向分析

前言之前在github发现一个ida插件，可以利用AI来辅助逆向分析，觉得功能很强大，最近在看雪也发现了一篇手把手帮助配置和使用的文章，所以也尝试配置了下环境，体验了下。此篇也算一个跟着大佬教学文章复...

06月05日16 views评论

阅读全文

程序逆向

论黑客如何从bat到py到donut到ps1层层包裹木马，揭秘木马神秘运行流程

作者论坛账号：ahov一、背景近期发现一枚样本，传播载体为批处理文件(cl.bat)，经过分析发现其通过net use命令将某Cloudflare Tunnel内网穿透服务挂载为网络驱动器后，下载并运...

06月04日27 views评论

阅读全文

程序逆向

没有本体!弄残自己躲避查杀的远程木马

分析背景该木马在分析之前已经在受害者机器上运行, 攻击者执行了一系列脚本和PowerShell命令, 使该恶意软件在Windows进程中运行。在分析溯源过程中, 没有找到恶意软件的可执行文件, 但成...

06月04日23 views评论

阅读全文

程序逆向

Linux | 利用io_uring异步I/O绕过syscall Hook检测

io_uring是在Linux 5.1版本引入的一个高性能异步I/O接口。简单来说，它通过让用户空间和内核空间共享一个环形缓冲区，大大降低了数据传输的开销，能让程序运行得更快，支持多种异步操作...

06月04日20 views评论

阅读全文

程序逆向

x64dbg Automate自动化分析的利器

用x64dbg Automate，让恶意软件分析不再繁琐！在当今复杂多变的网络安全领域，恶意软件分析、逆向工程和漏洞挖掘已成为网络安全专家的日常任务。然而，面对海量的样本和复杂的技术手...

06月03日25 views评论

阅读全文

程序逆向

【免杀】C2免杀技术（十四）Inline Hook

关于 Inline Hook 相关概念和环境准备详见上篇文章【免杀】C2免杀技术（十三）Inline Hook 前置篇，本文主要演示该技术的免杀效果Inline Hook 免杀效果演示这里还拿之前...

06月03日89 views评论

阅读全文

程序逆向

IDA技巧（121）限制搜索到地址范围

在IDA中进行搜索时，默认情况下会从当前位置开始，直到数据库中的最大地址（或对于“向上”搜索则是最小地址）。这对于小到中等大小的文件来说效果不错，但对于大文件，尤其是在调试时，数据库可能不仅包括输入文...

06月03日10 views评论

阅读全文

程序逆向

底层虚拟机LLVM PASS插入花指令研究

使用LLVM(Low Level Virtual Machine) PASS可以通过编译器后端自动插入花指令, 而不需要手动在源代码里内联汇编。1. 花指令简介简单来说就是一块无意义的汇编指令, 用于...

06月03日21 views评论

阅读全文

Windows PE文件格式详解（总结）

利用未公开特性伪造 PE 节区头

基于虚拟化技术的内存监控与逆向工程（很长）

【免杀】C2免杀技术（十五）shellcode混淆uuid/ipv6/mac

IDA Pro + MCP 逆向分析

论黑客如何从bat到py到donut到ps1层层包裹木马，揭秘木马神秘运行流程

没有本体!弄残自己躲避查杀的远程木马

Linux | 利用io_uring异步I/O绕过syscall Hook检测

x64dbg Automate自动化分析的利器

【免杀】C2免杀技术（十四）Inline Hook

IDA技巧（121）限制搜索到地址范围

底层虚拟机LLVM PASS插入花指令研究

在线咨询

微信