tl;dr 拿WxIsaac64(Isaac64的变种?)生成2^17个字节,然后和视频的前2^17字节做异或。 由于WeChatVideoDownloader不能用了,所以写此篇记录分析过程。 一 ...
01月04日150 views评论函数
加密
视频加密逆向
01月04日150 views评论函数
加密
01月04日150 views评论函数
加密
记一次微信交流群内免杀木马分析以及溯源
关注本公众号,长期推送技术文章免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章...
01月04日18 views评论sage
反编译
反虚拟机和反沙箱相关
通过关注系统环境来检测沙箱或虚拟机。导致不运行恶意代码,而是运行其他无害的代码。RAM/CPU一般来说虚拟的内存和CPU的数量都是有限的,但是这里不建议加虚拟机的反调试,因为有时候我们去打项目的时候难...
01月04日43 views评论status
处理器
CVE-2023-2598 io_uring内核提权分析
CVE-2023-2598 为 io_uring API 组件中的一处 OOB 漏洞,可越界读写物理内存。本文[1] 对提权利用方式进行分析,从 io_uring 的工作原理、Linux 内...
01月03日53 views评论struct
系统调用
免杀对抗-映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日45 views评论edr
ptr
记一次银狐病毒样本简单分析
暗魂攻防实验室 0x01 程序查壳 病毒文件为:2023年12月新发布-财会人员薪资补贴调整新政策所需材料.exe exe格式的文件是个windows可执行文件,检查是否加壳进行保护 yoda's P...
01月03日93 views评论dat
财会人员
微信消息撤回拦截:x64dbg反汇编实现揭秘
在数字世界中,信息传递的速度快如闪电,但也常常伴随着一些遗憾。微信作为我们日常生活中最常用的通讯工具之一,其撤回功能让许多人在发出信息后有了后悔的机会。然而,有时候我们却希望能够拦截这些即将被撤回的信...
01月03日63 views评论dbg
反汇编
浅析RDI-反射DLL注入
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:4596声明:仅供学习参考,请勿用作违法用途概念简介EDREDR技术不同于以往的基于边界、规则...
01月03日68 views评论location
pimage
系统调用总结(1)
系统调用简介什么是系统调用Windows系统调用使它们能够请求特定服务,例如读取或者写入文件,创建新的进程以及分配内存等等,我们之前使用的一些API都是R3层也就是用户层的API,比如VirtualA...
01月03日35 views评论memo
系统调用
映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
01月03日32 views评论edr
ptr
如何获取解码后的Shellcode以及使用Ghidra手动定位Shellcode和相关解密密钥的方法
探索Cobalt Strike shellcode是由编译后的可执行.exe文件加载情况,这将需要使用调试器(x64dbg)和静态分析(Ghidra)来执行完整的分析。 可执行文件是编译后的exe,包...
01月03日33 views评论shellcode
恶意软件
免杀|记一次cs样本免杀实践
原文首发在:奇安信攻防社区 https://forum.butian.net/share/2620 0x01 背景 从年初开始接触免杀,学习了很多理论;也在攻防项目中,分析了很多前辈们写的免杀马;感觉...
01月03日77 views评论shellcode
信息
176