Arsenal 2.0 Elevating Malware Stealth Tactics to bypass static detection注意: 本博客是我之前文章“Arsenal: 绕过 ED...
HookChain:深入探究高级 EDR 绕过技术
HookChain: 深入解析高级 EDR 绕过技术HookChain 是一种新型技术,通过利用底层 Windows API 并操控系统调用与用户态钩子的交互方式,来绕过终端检测与响应(EDR)解决方...
Windows 进程注入:KnownDlls 缓存中毒
介绍这是对James Forshaw在通过 KnownDlls 绕过 CIG中描述的一种注入方法的快速回应。在 Windows 上毒害 KnownDlls 缓存的第一个示例可以追溯到1999 年 2 ...
利用虚假 DLL、保护页和 VEH 实现增强EDR检测
利用虚假 DLL、保护页和 VEH 实现增强EDR检测免责声明本文不会提及任何产品或制造商的名称。出于保密原因,我对所有使用的图像进行了匿名处理。本文的目的纯粹是学术性的;这里分享的信息仅用于研究目的...
GO静态免杀初探
更多全球网络安全资讯尽在邑安全Go加载器网上找的Go加载器,最简单的免杀就是将shellcode加密解密,或者远程加载shellcode。package mainimport ( "syscall" ...
LayeredSyscall——滥用 VEH 绕过 EDR
介绍EDR 使用用户空间钩子,这些钩子通常放置在Windows 操作系统中,ntdll.dll有时也位于每个进程中。它们通常以以下两种方式之一实现钩子程序:kernel32.dll使用重定向修补要挂钩...
重生之我在干免杀-堆栈欺骗
免责声明:本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,...
利用系统调用绕过杀软
免责声明 请您仔细阅读以下声明: 您在AtomsTeam查看信息以及使用AtomsTeam服务,表明您对以下内容的接受: AtomsTeam提供程序(方法)可能带有攻击性,仅供安全研究...
VMP源码分析:反调试与绕过方法
一vmp反调试相关源码部分1.1 如何检索反调试源码我们都知道,当vmp检测到被调试,会有如下弹框。通过这条报错信息,不难在源码中找到:然后通过它的消息传递机制,不难找到:void LoaderMes...
bypass5 -【_LIST_ENTRY详解】shellcode免杀之动态获取API
文章首发先知:https://xz.aliyun.com/t/14937本公众号技术文章仅供参考!文章仅用于学习交流,请勿利用文章中的技术对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接...
转储 lsass - NativeDump
NativeDump 允许仅使用 NTAPI 转储 lsass 进程,生成一个 Minidump 文件,其中仅包含需要由 Mimikatz 或 Pypykatz 等工具解析的流(SystemInfo、...
免杀动态对抗之syscall[源码分析]
基础概念操作系统分为内核和应用层,从R0-R3,R0是内核,R3是用户层。windows中日常调用的api都是R3抽象出来的接口,虽然win32 api他也是R3接口,但是由于windows的设计思想...
6