1. 补丁分析观察 bindiff 下的差异流程图:差异主要包括两部分:将以前的 MsiGetFileAttributes() 调用 封装到 IsJunctionFolder() 函数里,用以判断...
windows install CVE-2018-0868 漏洞分析
这个漏洞是因为对config.msi 没有任何防护所致。攻击者可以自己创建config.msi,并目录连接到其他文件夹。然后windows installer 会修改config.msi 的权限,并往...
将MSI伪装成JAR绕过数字签名验证
前言Google的VirusTotal发表了一篇博客文章,介绍了一种通过JAR文件绕过Windows代码签名的新方法:将任何内容附加到由任何软件开发人员签名的Windows Installer(.MS...
黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件
Intezer Labs 最近发现了一次针对香港、台湾等组织的复杂网络攻击活动。攻击者使用一种名为 PNGPlug 的多阶段加载器来传播臭名昭著的 ValleyRAT 恶意软件。攻击始于一个网络钓鱼网...
警惕!银狐木马病毒针对我国用户再次出现新变种并更新传播手法
更多全球网络安全资讯尽在邑安全 一、相关病毒传播案例 近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内发现针对我国用户的“银狐”(...
后渗透维权
在内网渗透中常用白程序进行维权或者横向,能够有效绕过杀软等利用anydesk创建一个新的隐藏用户并用它来安装anydesk"[*] Download AnyDesk"$clnt = new-objec...
关于针对我国用户的银狐木马病毒出现新变种的预警报告
一、相关病毒传播案例近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内发现针对我国用户的“银狐”(又名:“游蛇”、“谷堕大盗”等)木马病毒最新变...
一文带你详解MSI武器化
欢迎加入我的知识星球,目前正在更新免杀相关的东西,129/永久,每100人加29,每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新69+ PDF文档加好友备注(星球)!!!什么是MSI文...
预警!针对我国用户的银狐木马病毒出现新变种
安小圈第552期针对中国 “银狐”变种一、相关病毒传播案例近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内发现针对我国用户的“银狐”(又名:...
msiscan:一款针对msi文件的漏洞检测与识别工具
关于msiscan msiscan是一款针对Microsoft Windows *.msi 安装程序文件的漏洞检测与识别工具,该工具基于Python开发,可以用于获取安装程序的概述并识别潜在的安全问题...
Cobalt Strike Beacon 恶意软件分析
我最近从 Malware Bazaar 以 Windows 安装程序文件 (MSI) 的形式获取了一个 Cobalt Strike 样本,我想分享我如何进行初步分类并提取最终配置。我们的样本SHA25...
恶意 MSI - 关于 MSI 文件漏洞的故事
Evil MSI. A story about vulnerabilities in MSI Files你们可能经常遇到 MSI 文件。软件制造商使用它们来提供他们的程序。与标准的 EXE 格式相比,...