免杀基础-IAT隐藏导入表包含了导入的DLL和使用的函数 其中如Kernel32.dll下的CreateRemoteThread VirtualAllocEx等函数被杀软认为是高度可疑的我们可以通过导...
函数篡改注入
欢迎加入我的知识星球,目前正在更新免杀相关的东西,129/永久,每100人加29,每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新74+ PDF文档加好友备注(星球)!!!简介本地函数篡...
Shellcode学习(一) —— 通过C编写shellcode
本文主要是基于网上一些现有的shellcode编写文章的学习整理和思考。本篇主要是通过C代码生成shellcode,比较容易上手和实操,后面可能也会写直接用汇编写shellcode。前置知识shell...
[Shellcode x64] 使用 Assembly 查找并执行 WinAPI 函数
你将学到什么: WinAPI函数手册位置及汇编代码 PEB 结构和 PEB_LDR_DATA PE文件结构 相对虚拟地址计算 导出地址表 (EAT) Windows x64 调用约定实践...
OSEP | 免杀基础-下
关于笔记形式和学习方法请看OSEP学习之路 | 开篇本篇是第二部分“免杀基础”技术的上部,笔记基本是按照教材梳理的,章节不是一一对应,因为有些内容合并后更好理解3.7-Dll注入3.7.1-远程进程D...
bypass5 -【_LIST_ENTRY详解】shellcode免杀之动态获取API
文章首发先知:https://xz.aliyun.com/t/14937本公众号技术文章仅供参考!文章仅用于学习交流,请勿利用文章中的技术对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接...
shellcode开发
CppDevShellcode前言:网络上推荐开发shellcode是用Clang、或者python开发,有些博客直接用的汇编在写。为了简化开发的难度,并且windows上还是主推Visual Stu...
从 data 段中加载 PE Executable —— 2022-蓝帽杯-Reverse-Loader Writeup
点击蓝字 / 关注我们Brief这题名为 Loader,其本质也是从 .data 段中加载了程序的主要逻辑并运行,使用了无文件 PE 文件加载的相关技术。因为这道题没加反调试等 c...
从 data 段中加载 PE Executable —— 2022-蓝帽杯-Reverse-Loader Writeup
Brief 这题名为 Loader,其本质也是从 .data 段中加载了程序的主要逻辑并运行,使用了无文件 PE 文件加载的相关技术。 因为这道题没加反调试等 check,所以比赛时我只是略扫了一下 ...
识别和分析 shellcode的一些方法
五一期间,分析那个木马的过程中(见上一篇,它其中的是InInitializationOrderModuleList,见下图)就碰到了通过PEB_LDR_DATA链的InMe...