Hook Windows 进程通常利用应用程序编程接口(API)函数来执行需要可重用系统资源的任务。Windows API 函数通常作为导出函数存储在动态链接库(DLL)中。Hook 涉及将调用重定向...
「免杀对抗」怎样实现一个基础的shellcodeloader
在越来越多的攻防演练项目中,上线机器至C2(Command & Control)以及钓鱼打开内网入口点都需对其所使用的落地文件进行处理,因此免杀是这类项目中至关重要的一环。 目前...
CobaltStrike静态免杀技术深探:突破防线的关键一步
免责声明 文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。前言本文主要针对CobaltS...
脱壳 ASProtect v1.31 (手动修复IAT乱序)
工具:OD,PEID找 OEPOD 载入程序, 忽略所有异常, F9 运行, 退出程序, 打开 LOG 窗口, 看一下有多少非法访问内存和 INT3中断:0096F4FB 访问违例: 写入到 [000...
为无源码的数据批量处理软件添加功能
一软件简介chrep.exe是一款用于对文件进行数据批量查找,处理,替换的工具,它的主界面如下图所示:使用PE分析工具DIE 对其进行分析,发现它是一个使用Visual C/C++编写的程序,使用了M...
常见的JWT令牌的漏洞利用方式-漏洞探测
0x01 前言JSON Web 令牌 (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。理论上,它们可以包含任何类型的数据,但最常用于发送有关用户的信息(“声明”),作为身份...
IAT隐藏与混淆
简介在我们的导入表中有一些PE相关的信息,比如我们写了一个loader,里面有申请内存的操作,或者有文件读取的操作,这些函数都会在导入表中出现,为了避免蓝队分析我们的二进制文件,所以我们必须将这些函数...
【杀软对抗】Hook与UnHook基础
一、HookHook 说明:运行程序时杀软会检查敏感的 API 函数,如 OpenProcess、VirtualAllocEx、WriteProcessMemory 等。杀软常用的方式是在程序加载 A...
IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)
本篇目录导航# 样本信息# PEinfo查看# ida检查导入表# 尝试简单查加密函数# 通过其它函数引用找加密函数# 动态调试加密函数# 找到开始与结束地址dump# ...
JWT的攻击面【文末附工具】
🔰0x01 JWT简介 ⛅Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,他的两大使用场景是:认证和数据交换,由服务端根据规范生成一个令牌...
通过x64dbg脚本功能修复IAT表
样本 [PEDIY.华章 Crackme 竞赛 2009] [第十回] –ninejs https://bbs.pediy.com/thread-97892-1.htm 感兴趣可自行去下载,看到下面评...
机器学习检测Cobalt Strike流量
01背景众所周知,Cobalt Strike作为一款强大工具,已被众多渗透测试团队和实际攻击团队广泛采用。其功能完善和配置灵活性高等特点使得在满足攻击需求和规避检测方面表现出色。然而,这也给各大防御团...