免责声明 文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任前言众所周知:AV/EDR喜欢扫...
免杀|先锋马免杀分享
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
NtCreateThreadEx under x64
NtCreateThreadEx under x64 近日忙于大作业,顺手写了下逆向的上机作业,然后发现在Win10 x64下用NtCreateThreadEx怎么也注入不进去,GetLastErro...
免杀对抗-映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
映射Ntdll.dll来取消挂钩EDR
EDR会在特定的Windows API函数上挂钩,例如NtWriteVirtualMemory函数,NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...
从Resource中加载shellcode
前言在开发malware过程中通常有两种加载shellcode方式: 1.把shellcode直接以硬编码的方式写入代码中 2.采用分离加载的方式 制作一个shellcode...
MSF ShellCode Bypass
利用 Python 在内存中执行 ShellCode, 经过 Pynstaller 的封装达到免杀的效果. 在 Freebuf 看各种 APT 分析的时候总能找到 “不落地” “内存执行” 之类的字词...
记一次不太成功的卡巴斯基免杀
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。前言卡巴斯基是一个全球知名的杀毒软件,之前没有对卡巴斯基免杀做过尝试,一个原因是...
PE-自实现拉伸运行dll
实现功能:不借助Windows将dll注入到本进程将dll进行拉伸并执行dll导出函数MemLoadDll.cpp文件:#include "stdafx.h"#include "MemLoadDll....
【翻译】免杀技巧--使MSF变得再次可行
本文为翻译文章,有兴趣的师傅可点击阅读原文查看。 使用大堆栈方式,让msf的payload成功绕过wind...
最简单绕过ring3 hook的方式(bypass bitdefender)
本文已上传视频教学:https://www.bilibili.com/video/BV1Wy4y1X7Z5/?spm_id_from=333.999.0.0ntdll.dll常常是被挂钩的主要模块,当...
windows rootkit初探之隐藏
windows rootkit初探之隐藏Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程...