0x01 前言 进程的执行很容易被发现,在不利用驱动或者漏洞的情况下,在3环通过傀儡进程的方式实现进程隐藏,这种技术虽然很久之前就有了,但是和其他的免杀技术相结合也会达到很不错的效果,这种技术的...
11月15日34 views评论nmap
白名单
傀儡进程的那些事
11月15日34 views评论nmap
白名单
11月15日34 views评论nmap
白名单
使用内核回调表进程注入
攻击者可以劫持进程环境块 (PEB) 中的内核回调表,以重定向进程的执行流,从而使他们能够执行恶意负载。此方法允许攻击者通过将合法函数指针替换为恶意函数指针(通常由 Windows 消息触发)来保持持...
11月13日48 views评论peb
进程注入
隐秘进程注入:新内核回调表技术曝光
引言进程环境块(PEB)中的内核回调表可以被攻击者劫持,以重定向进程的执行流,使他们能够执行恶意有效载荷。这种方法允许对手通过替换合法的函数指针与恶意的来维持持久性,通常由Windows消息触发。MI...
11月06日26 views评论peb
进程注入
【翻译】用于进程注入的内核回调表
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。原文地址:https://github.com/0xH...
11月06日12 views评论peb
进程注入
DLL劫持与攻击利用
DLL基础DLL全称Dynamic Link Library,称为动态链接库,允许多个应用程序共享代码和资源,支持按需加载功能,从而提高内存利用率、简化更新和维护。大多数程序并不是一个单独的可执行文件...
11月06日24 views评论dll文件
shellcode
免杀 | 6种进程注入的方式
注入方式根据各阶段调用的API,读写的内存位置的区别进行 如下分类(实战中常用的 6 种):1、远程线程注入image-20230410210651326原始的注入手法。通过API申请空间,然后将co...
11月05日21 views评论shellcode
sizeof
C# 中的 Fork 和 Run 实现 - Shellcode 注入和执行
介绍在前面的文章中,我们了解了如何使用 Windows API为当前用户或具有其他用户权限的用户创建进程。现在,我们将利用这些知识来注入我们想要执行的恶意代码。Shellcode 准备第一步是生成我们...
10月28日20 views评论location
shellcode
进程注入系列Part 1 常见的进程注入手段
本期作者/shadow 前言 进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动...
10月11日121 views评论payload
恶意代码
杀死那个名为360安全的软件
通过上一篇文章我们知道可以通过搜索字符串来判断杀软的拦截规则, 知“白”守黑:防病毒软件的致命弱点—排除项与白名单 参考这个https://bbs.kanxue.com/thread-281120.h...
10月07日34 views评论白名单
防病毒软件
免杀基础之DLL远程线程注入
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。大家好,前段时间忙着HW,也有一段时间没有更新公众号了。。。。学习免杀之前给大家推荐一些课程和书籍:Win...
09月28日73 views评论dll文件
数字签名
VBS后门的免杀方式的研究
实验对象 本次所涉及的杀毒软件主要为 360,辅助对比使用的是火绒。 我们本篇文章为了验证结果,主要针对 CobaltStrike 所生成的 vbs 宏代码来进行免杀测试,但实际上就目前...
09月20日22 views评论cobaltstrike
hprocess
进程注入——通过VEH向量异常处理进行进程注入
0x00 前言本文是基于此项目 https://github.com/xforcered/VectoredExceptionHandling 的学习与理解,完整的包含错误检查的代码请见此链接。0x01...
09月02日114 views评论guard
shellcode
4