导入表(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在PE文件运行过程需要依赖哪...
Armadillo_9.64加壳脱壳分析
一缘由写此帖的原因在于,许多论坛关于 Armadillo 脱壳的讨论往往只讲解脱壳步骤,而不涉及原理。即使有些帖子提到原理,内容也常常遵循安全人员的脱壳经验,这对初学者并不友好。Armadillo 壳...
PEB Walk:避免分析师在 IAT 中检查 API 调用并绕过 AV/EDR 的静态检测
概括在本博客中,我们讨论了 AV/EDR 静态分析和检测的不同方法。传统的防病毒软件依赖于基于签名的检测。它们计算二进制文件的哈希值,并查看此特定签名是否与数据库中已知的恶意软件签名匹配,然后相应地将...
HookChain:深入探究高级 EDR 绕过技术
HookChain: 深入解析高级 EDR 绕过技术HookChain 是一种新型技术,通过利用底层 Windows API 并操控系统调用与用户态钩子的交互方式,来绕过终端检测与响应(EDR)解决方...
学习脱壳穿山甲Armadillo 4.30a 的详细笔记
需要用到的工具,Xp虚拟机,ArmaFP(查看壳的版本),dillodie1.6(脱壳机),吾爱OD,IDA8.3,脱壳程序(见附件),Beyond Compare(比较工具),LordPE,impr...
恶意软件分析入门
本文的目的是使用真实示例介绍恶意软件分析。我们将从静态和动态分析的基础知识开始。注意:本文的恶意软件示例取自此处 https://github.com/HuskyHacks/PMAT-labs/tre...
轻量级监视Windows驱动程序调用内核API工具
01 免责声明 免责声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 02 文章正文 DrvMon是一...
ATT&CK -
Hook Windows 进程通常利用应用程序编程接口(API)函数来执行需要可重用系统资源的任务。Windows API 函数通常作为导出函数存储在动态链接库(DLL)中。Hook 涉及将调用重定向...
「免杀对抗」怎样实现一个基础的shellcodeloader
在越来越多的攻防演练项目中,上线机器至C2(Command & Control)以及钓鱼打开内网入口点都需对其所使用的落地文件进行处理,因此免杀是这类项目中至关重要的一环。 目前...
CobaltStrike静态免杀技术深探:突破防线的关键一步
免责声明 文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。前言本文主要针对CobaltS...
脱壳 ASProtect v1.31 (手动修复IAT乱序)
工具:OD,PEID找 OEPOD 载入程序, 忽略所有异常, F9 运行, 退出程序, 打开 LOG 窗口, 看一下有多少非法访问内存和 INT3中断:0096F4FB 访问违例: 写入到 [000...