系统调用 - 第 4 | CN-SEC 中文网

UDRL、SleepMask 和 BeaconGate

UDRL, SleepMask, and BeaconGate在过去几天里，我一直在研究 Cobalt Strike 的 UDRL、SleepMask 和 BeaconGate 功能。花了一些时间来理...

12月01日安全文章128 views评论

阅读全文

安全文章

深入理解系统调用：原理、应用与最佳实践

*本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。01用户态 API 挂钩用户模式 API 挂钩使 EDR 能够动态检查在 Windows API 或本机 API 上下文中执行的...

11月29日10 views评论

阅读全文

安全文章

无法被拦截的PDF钓鱼

PDF通常被认为是安全的文件，无论在邮件附件，还是聊天工具中。但是很遗憾，PDF已成为新型网络攻击的载体，本技术演示了采用PDF走私技术，将URL嵌入至PDF中，只需打开并点击PDF，则触发远程文件下...

11月26日43 views评论

阅读全文

安全文章

VAC 内核模式旁路：完全工作的内核模式 VAC 旁路

VAC 内核模式绕过完全有效的 VAC 内核模式旁路，它利用 SSDT 钩子或 Infinityhook 拦截 VAC 系统调用并最终伪造结果以绕过内存完整性检查。使用此旁路，您可以将未签名的 DLL...

11月23日11 views评论

阅读全文

安全文章

自动化patch shellcode到EXE实现免杀

前言最近二开CS顺便学习二进制研究之前的工具，看到了很早之前的工具shellter，细看之下感觉虽然是很多年前的工具，但思想完全不输现在的各种loader，核心思路应该是分析PE文件执行流，然后在某...

11月21日17 views评论

阅读全文

安全工具

一款转储LSASS内存的强大神器

工具介绍 ShadowDumper是一款用于转储LSASS内存的强大工具，渗透测试和红队测试中经常用到。它使用多种先进技术来转储内存（目前7种），从而允许访问LSASS内存中的敏感数据。工具功能解除...

11月20日42 views评论

阅读全文

安全工具

RustiveDump：一款基于NT系统调用的LSASS内存转储工具

关于RustiveDump RustiveDump是一款基于NT系统调用的LSASS内存转储工具，该工具使用Rust开发，旨在帮助广大研究人员仅使用NT 系统调用转储lsass.exe进程的内存。该...

11月18日29 views评论

阅读全文

安全新闻

Arsenal 绕过 EDR/XDR 并使恶意软件分析更困难

Arsenal Bypass EDR'sXDR's and make malware analysis harder（直接系统调用，沙盒绕过，API 哈希，AES 加密）介绍在这篇博客中，我将解释多种...

11月17日43 views评论

阅读全文

安全新闻

Arsenal 2.0 提升恶意软件隐蔽战术以绕过静态检测

Arsenal 2.0 Elevating Malware Stealth Tactics to bypass static detection注意：本博客是我之前文章“Arsenal: 绕过 ED...

11月17日17 views评论

阅读全文

安全文章

【A9】初探eBPF

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

11月07日10 views评论

阅读全文

安全文章

Hades -结合多种规避技术的Go Shellcode加载器

关于Hades是一个概念验证加载器，它结合了几种规避技术，目的是绕过现代 AV/EDR 常用的防御机制。用法最简单的方法可能是使用在 Linux 上构建项目make。git clone https:...

11月06日19 views评论

阅读全文

安全文章

HookChain：深入探究高级 EDR 绕过技术

HookChain: 深入解析高级 EDR 绕过技术HookChain 是一种新型技术，通过利用底层 Windows API 并操控系统调用与用户态钩子的交互方式，来绕过终端检测与响应(EDR)解决方...

11月03日209 views评论

阅读全文

UDRL、SleepMask 和 BeaconGate

深入理解系统调用：原理、应用与最佳实践

无法被拦截的PDF钓鱼

VAC 内核模式旁路：完全工作的内核模式 VAC 旁路

自动化patch shellcode到EXE实现免杀

一款转储LSASS内存的强大神器

RustiveDump：一款基于NT系统调用的LSASS内存转储工具

Arsenal 绕过 EDR/XDR 并使恶意软件分析更困难

Arsenal 2.0 提升恶意软件隐蔽战术以绕过静态检测

【A9】初探eBPF

Hades -结合多种规避技术的Go Shellcode加载器

HookChain：深入探究高级 EDR 绕过技术

在线咨询

微信