前言最近在一些环境中使用mimikatz读取密码出现了些问题,简单记录下。问题分类1、权限这种情况就属于权限不到位,虽然是管理员权限但是需要右键管理员权限启动cmd权限到位就没问题。2、 LSA 保护...
某免杀工具后门分析
最近网上看到某免杀exe生成工具存在后门找到样本来学习一下看看样本地址: https://s.threatbook.com/report/file/a737860a66bcd9228cc18...
免杀技术之dll注入技术详解
本文章是蛇矛实验室基于"火天网测网络安全测试平台"进行编写及验证,通过火天网测中的病毒测试模块,可以对文件进行详尽的评估, 从而对文件是否存在恶意行为进行判断。DLL简介DLL(动态链接库)注入技术是...
x86汇编基础指令
寄存器存储cpu中的数据32位通用寄存器32位16位8位EAXAXALECXCXCLEDXDXDLEBXBXBLESPSPAHEBPBPCHESISIDHEDIDIBH8位寄存器在16位寄存器中,而1...
PE加载过程 FileBuffer-ImageBuffer
本文为看雪论坛优秀文章看雪论坛作者ID:愿风载尘一FileBuffer到ImageBuffer常见的误区1.文件执行的总过程我们知道一个硬盘上的文件读入到内存中(FileBuffer),是原封不动的将...
分享 | mimikatz和shellcode免杀
前置知识1.Windows apiVirtualProtectBOOL VirtualProtect( [in] LPVOID lpAddress,//要更改属性的地址 [in] SIZE_T dwS...
实战 | 通过VEH异常处理规避内存扫描实现免杀
windows异常处理Windows中主要的异常处理机制:VEH、SEH、C++EH。SEH中文全称:结构化异常处理。就是平时用的__try __finally __try&nbs...
从0开始两小时手撕VM逆向题
序言我惧怕失败,怕努力后徒劳无功,怕辜负他人的信任,不过比起这些,我想我更怕失去抽刀而出的勇气。 -----by 天河前言很多人看到VM类型的题目会放弃,因为认为自己办不到,认为自己在有限的时间不一定...
CVE-2021-1732提权漏洞学习笔记
本文为看雪论坛精华文章看雪论坛作者ID:1900一前言1.漏洞描述win32kfull!xxxCreateWindowEx函数创建窗口的过程中,当创建的窗口对象存在扩展内存的时候,会通过函数KeUse...
OSED(那些学习过程中被人们遗忘的东西)
经典堆栈溢出 经典的堆栈溢出是最容易理解的内存损坏漏洞。易受攻击的应用程序包含一个函数,该函数将用户控制的数据写入堆栈而不验证其长度。这允许攻击者:1. ...
进程注入的探索
本文首发先知,原文请点下方阅读原文~前言文章涉及的技术并不深,只是本人在学习进程注入过程中的记录,文章的内容将涉及到进程注入基础、通过快照自动获取Pid、分离加载shellcode、IAT导入表的基本...
【原创】vmp trace的优化处理
作者论坛账号:白云点缀的藍前言在之前写的《利用机器学习分析vmp的思路》中,把读写内存的操作数直接替换成了绝对地址的形式,这就产生了大量赋值语句,阅读起来也不是很友好。写这篇文章的主要目的是如何做进一...
4