点击蓝字 关注我们前言上个学期,学习了一下病毒分析,看到看雪课程里面有一篇关于利用机器学习分析病毒的,之前也思考过通过导入表的win api利用逻辑回归进行自动化判断,这里跟着看雪的姜老师学习一下模式...
03月08日26 views评论利用
自动化
从模式识别看自动化病毒分析
03月08日26 views评论利用
自动化
03月08日26 views评论利用
自动化
躲避内存查杀 - AceLdr 技术解析
0. TL; DR本文介绍常见的内存查杀工具的技术原理,分析 UDRL AceLdr[1] 躲避内存查杀的几种技术实现。1. 内存查杀工具以下内存查杀工具是从 AceLdr 的 README 取的,基...
03月08日程序逆向353 views评论system
内存
红队开发基础-基础免杀(四)
红队开发基础-基础免杀(四)引言本文是《红队开发基础-基础免杀》系列的第四篇文章,主要介绍了“反射型dll注入”及“柔性加载”技术。此外,本篇是对该系列文章的一个总结,利用前面几篇文章的技术相结合,达...
03月06日97 views评论remote
shellcode
实现一个压缩壳,并给它加点“料”
本文为看雪论坛优秀文章看雪论坛作者ID:橘喵Cat一前言实现压缩壳,必须对PE格式十分熟悉,其次,解压缩代码需要编写shellcode,也是十分麻烦的环节。有了两者的结合,我们才能写好一个真正的压缩壳...
03月06日14 views评论header
pe
记录一下从编译的角度还原VMP的思路
本文为看雪论坛优秀文章看雪论坛作者ID:wx_御史神风一摘要1.1 关于代码优化与还原关于还原,我认为难点是工作量大,需要自动化提升效率。还原和混淆是一对反义词,相同点是保证代码功能相近,不同是一个是...
03月06日83 views评论handler
指令
【实战】手工恢复EFS加密文件
1 概述EFS作为一种常见的加密形式,在电子物证取证过程中经常遇到。一些情况下,商业软件并不能很好地识别解密EFS加密文件。此时便需要勘验民警掌握EFS加密原理并根据原理恢复出原始加密文件。下面本文将...
03月06日186 views评论主密钥
加密文件
实战DLL注入
本文为看雪论坛优秀文章看雪论坛作者ID:wx_Niatruc一摘要使用vs2019编写注入器程序, 在生成的注入器可用前, 踩了不少坑, 因此记录一下。本文涉及三种恶意代码注入方法: 直接dll注入,...
03月06日90 views评论dll注入
shellcode
记录调试Windows服务操作
本文为看雪论坛优秀文章看雪论坛作者ID:PlaneJun如题,近日分析了一个样本,发现需要调试服务,然后自己也没调试过服务,就在国内查了一些资料,基本能用的也就看雪一个大哥发的教程(https://b...
03月05日49 views评论exe
service
GRPC 学习笔记
简介 gRPC 是 Google 开源的一个远程过程调用(Remote Procedure Call) 框架,在 gRPC 中,客户端应用程序可以直接调用不同机器上的服务器应用程序上的方法,就像它是本...
03月05日30 views评论go
协议
windows api隐藏结合进程篡改
泛星安全团队泛星安全团队第9篇文章声明文章内容为学习记录,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。工具、漏洞知识点总结Run PE技术、windows敏...
03月04日33 views评论api
函数
Bumblebee加载器:企业域控制之路
关键词恶意代码加载器、数据窃取、域控在这份威胁分析报告中,Cybereason GSOC团队分析了一个由Bumblebee加载器感染的案例,详细描述了从最初的Bumblebee加载器感染到整个网络失陷...
03月04日38 views评论恶意软件
攻击者
如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞
研究人员在OEM厂商的外围设备中发现了多个漏洞,这影响了这些OEM厂商(Razer、EVGA、MSI、AMI)的许多用户。这些漏洞源于一个众所周知的易受攻击的驱动程序,通常被称为WinIO/WinRi...
03月03日26 views评论漏洞
驱动程序
176