复旦白泽祝大家新年快乐!即将在2024年2月举办的The 36th AAAI Conference on Artificial Intelligence (AAAI 2024)中,我实验室白泽智能团队...
从第一个crackme学习逆向
首先我们准备一个简单的exe程序准备程序:ida(到处都有,笔者用的ida7.8),patch(python3版本的),CRACKME.exe,HOLA_REVERSER.exe我们使用HxD看一下很...
CobaltStrike逆向学习系列(番外篇)-自定义RDI功能添加
这是[信安成长计划]的第 25 篇文章0x00 目录0x01 CS自带方案0x02 自定义流程实现0x03 自定义Patch实现按照之前对RDI功能发...
CobaltStrike逆向学习系列(6)-Beacon sleep_mask 分析
CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设...
CobaltStrike逆向学习系列(7)-Controller 任务发布流程分析
所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例 0x01 Controller...
CobaltStrike逆向学习系列(8)-Beacon 结果回传流程分析
Beacon 在接受完命令并执行后,会将数据加密回传给 TeamServer,TeamServer 进行解析后,并根据类型对结果的格式进行处理后,再回传给 Controller 0x01 Beacon...
CobaltStrike逆向学习系列(9)-Beacon堆混淆
在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内...
CobaltStrike逆向学习系列(10)-TeamServer启动流程分析
在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltStrike 也是非常重要的 0x01 基本校验与解析 先取了默认端口...
CobaltStrike逆向学习系列(11)-自实现 Beacon 检测工具
目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon...
CobaltStrike逆向学习系列(12)-RDI任务发布流程分析
之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析 0x01 任务构建 CS 自带的 RDI 类型的功能也有好多,但...
CobaltStrike逆向学习系列(13)-RDI任务执行流程分析
在上一篇文章中已经讲明了 RDI 类型的任务在发布时候的流程,接下来就是执行了,文中不提任务接收与结果回传,这部分内容在之前也已经分析过了,继续使用 HashDump 来进行分析 0x01 任务号 按...
3