getproc | CN-SEC 中文网

安全文章

使用 PowerShell 中的动态 API 解析绕过 AMSI

什么是动态 API 解析？动态 API 解析是一种在运行时解析 Windows API 函数地址的技术，而不是在程序编译或加载时预先导入和声明。这是使用如下函数实现的：GetModuleHandle→...

04月26日4 views评论

阅读全文

安全文章

免杀 | dump lssas进程

提升权限 DumpLsass需要SeDebugPrivilege权限，管理员Powershell默认是有的,流程是首先提升进程权限,看网络上的前辈视频和文章第一种方法用底层函数RtlAdjustPri...

02月18日17 views评论

阅读全文

程序逆向

免杀基础-IAT隐藏

免杀基础-IAT隐藏导入表包含了导入的DLL和使用的函数其中如Kernel32.dll下的CreateRemoteThread VirtualAllocEx等函数被杀软认为是高度可疑的我们可以通过导...

12月28日12 views评论

阅读全文

安全文章

Shellcode学习(一) —— 通过C编写shellcode

本文主要是基于网上一些现有的shellcode编写文章的学习整理和思考。本篇主要是通过C代码生成shellcode，比较容易上手和实操，后面可能也会写直接用汇编写shellcode。前置知识shell...

12月02日36 views评论

阅读全文

安全开发

【免杀】go语言调用windows api的多种方式

点击蓝字，关注Sec探索者，一起探索网络安全技术请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担...

07月12日90 views评论

阅读全文

程序逆向

IAT隐藏与混淆

简介在我们的导入表中有一些PE相关的信息，比如我们写了一个loader，里面有申请内存的操作，或者有文件读取的操作，这些函数都会在导入表中出现，为了避免蓝队分析我们的二进制文件，所以我们必须将这些函数...

12月29日94 views评论

阅读全文

安全文章

bypass 行业最优质的EDR

现在当我和我的红队朋友谈及进程注入的话题时，回答通常是“是的……但是……”。因为检测的风险超过了在宿主进程中“寄生”的需要。典型的进程注入技术过于突出，而且注入往往与恶意活动有关。有时，我喜欢培养这种...

05月12日179 views评论

阅读全文

程序逆向

杂谈免杀

window API隐藏在PE文件中，存在iat导入表，记录了PE文件使用的API以及相关的dll模块。编译一个MessageBox文件，查看其导入表：...

02月23日102 views评论

阅读全文

使用 PowerShell 中的动态 API 解析绕过 AMSI

免杀 | dump lssas进程

免杀基础-IAT隐藏

Shellcode学习(一) —— 通过C编写shellcode

【免杀】go语言调用windows api的多种方式

IAT隐藏与混淆

bypass 行业最优质的EDR

杂谈免杀

在线咨询

微信