安全分析与研究专注于全球恶意软件的分析与研究前言概述笔者只要有空的时候就会在一些恶意软件自动化沙箱平台以及威胁情报平台上捕获分析一些样本,我一般会针对分析一些看起来比较可疑,然后引擎报毒比较少的样本,...
03月30日8 views评论恶意软件
黑客组织
SB恶作剧样本分析
03月30日8 views评论恶意软件
黑客组织
03月30日8 views评论恶意软件
黑客组织
Windows 内核驱动 MsIo64.sys 的溢出漏洞分析与EXP构造上
以CVE-2020-17382为例![[MsIo64.sys]]sc create MsIo64 type= kernel binPath= C:r0CVE-2020-17382MsIo64.syss...
03月30日10 views评论dst
kernel
现代 Windows 内核条件竞争 - Windows 11 (x64)
【翻译】0x08 - Modern Windows Kernel Race ConditionsWindows 内核条件竞争(double fetch)介绍在征服了 Windows 7 (x86)之后...
03月26日12 views评论river
struct
逃避查杀概率极高! 一堆UUID凑一起就是恶意代码
part1点击上方蓝字关注我们将二进制空间安全设为"星标⭐️"第一时间收到文章更新首先来看一段恶意Python脚本:如果不是前面有shellcode变量名, 单纯看这一堆UUID, 估计很少有人能将这...
03月26日14 views评论shellcode
恶意代码
IDA 9.1 & IDA 8.5 算法分析
作者论坛账号:Nisy看到分享了 8.5 安装包,之前的 kg 失效了,才发现替换成了 9.x 的注册模式。做了简单分析,整理如下:调试版本为 9.0(240905),新注册机制都一样,IDA.dll...
03月26日23 views评论ida
ptr
Windows LNK - 分析与概念验证 - 安全研究
概述我偶然看到了趋势科技的文章《ZDI-CAN-25373:Windows 快捷方式漏洞在广泛的 APT 活动中被滥用为零日漏洞》。TL;DR 以下是他们的摘要:- Trend Zero Day In...
03月26日12 views评论lnk
vulnerability
从源码视角分析Arkari间接跳转混淆
本文仅对Arkari用于混淆的pass的源码分析和讲解,没有提供去除混淆的方案,请需要去混淆的师傅自己想出解决方案,希望分析能够帮到各位师傅。文章大部分对源码的解释都直接以注释的形式写在代码中。PS:...
03月25日6 views评论控制流
源码分析
深度剖析:利用Python 3.12.x二进制文件与多阶段Shellcode的DCRat 传播技术
文章首发地址:https://xz.aliyun.com/news/17289文章首发作者:T0daySeeker概述近期,有一个朋友向笔者分享了一个未曝光样本,分享给我时,把这个样本说得很玄乎,说什...
03月24日15 views评论shellcode
二进制文件
CVE-2023-2598 内核提权详细分析
01漏洞简介漏洞编号: CVE-2023-2598影响版本:6.3 <= Linux Kernel < v6.3.2漏洞产品: linux kernel - io_uring & ...
03月24日9 views评论io
kernel
ZXSJ游戏逆向UE5飞天功能如何实现的
UE游戏引擎源码是开源的,所以咱们可以在UE5源码里面翻一番相关游戏世界物理引擎相关的类,找一找和物理重力相关的变量 修改世界全局重力从而实现飞天在Unreal Engine 5(UE5)中,Ph...
03月24日程序逆向9 views评论fname
游戏逆向
Ntdll Unhook 上集
一、介绍NTDLL 解除挂钩是将加载进程中的钩子 DLL 替换为未更改的未钩子版本,用未挂钩的版本替换挂钩的 DLL 需要手动设置 IAT、修复重新分配和其他繁琐的任务。为了避免这种情况, .text...
03月24日9 views评论ntdll
section
为什么你的逆向分析总失败?90%的人忽略的IDA Pro脚本技巧
逆向分析失败的原因往往与IDA Pro的高级功能未充分利用有关,尤其是脚本自动化、反编译修复技巧的缺失。以下是常见失败原因及被忽视的脚本技巧总结,结合了反编译原理与实战经验一、栈指针分析失败(sp-a...
03月21日56 views评论ida
反编译
176