ionprocess | CN-SEC 中文网

安全文章

【MalDev-07】Anti-Debugging反调试-3

04-标志位01-NtGlobalFlag默认条件下，PEB（进程环境块）中的NtGlobalFlag标志位（32位系统中偏移是0x68,64位系统中偏移是0xbc）的值是0，如果是在调试状态NtGl...

12月09日4 views评论

安全工具

工具简介 al-khaser是一个PoC“恶意软件”应用程序，目的是加强你的反恶意软件系统。它会执行一系列常见的恶意软件技巧（虚拟机、仿真、调试器、沙盒检测等），目的是看看您是否能躲过检测。工具特征 ...

11月14日14 views评论

程序逆向

攻击者可以劫持进程环境块（PEB）中的内核回调表，以重定向进程的执行流，从而使他们能够执行恶意负载。此方法允许攻击者通过将合法函数指针替换为恶意函数指针（通常由 Windows 消息触发）来保持持...

11月13日44 views评论

安全文章

Part1命令行参数欺骗在渗透过程中我们难免要在目标机器上执行命令，而目标机器上如果存在杀软或者类似的记录命令的程序，很可能会对我们的命令参数进行检测(例如powershell命令)或者记录，这样在我...

10月19日17 views评论

安全闲碎

前言2023年10月份，Maxime Meignan在riskinsight发表了一篇名为A universal EDR bypass built in Windows 10[1] 的文章，其大致内容...

05月06日56 views评论

安全文章

前言各种shellcode loader总是避免不掉一个问题，申请具备EXECUTE权限的内存来执行shellcode。这是shellcode loader永远的痛，也是检测的重灾区，怎么避免这个内存...

07月12日54 views评论