ntdll - 第 3 | CN-SEC 中文网

安全新闻

利用虚假 DLL、保护页和 VEH 实现增强EDR检测

利用虚假 DLL、保护页和 VEH 实现增强EDR检测免责声明本文不会提及任何产品或制造商的名称。出于保密原因，我对所有使用的图像进行了匿名处理。本文的目的纯粹是学术性的；这里分享的信息仅用于研究目的...

10月17日43 views评论

阅读全文

安全文章

GO静态免杀初探

更多全球网络安全资讯尽在邑安全Go加载器网上找的Go加载器，最简单的免杀就是将shellcode加密解密，或者远程加载shellcode。package mainimport ( "syscall" ...

09月28日18 views评论

阅读全文

安全文章

LayeredSyscall——滥用 VEH 绕过 EDR

介绍EDR 使用用户空间钩子，这些钩子通常放置在Windows 操作系统中，ntdll.dll有时也位于每个进程中。它们通常以以下两种方式之一实现钩子程序：kernel32.dll使用重定向修补要挂钩...

09月19日82 views评论

阅读全文

程序逆向

重生之我在干免杀-堆栈欺骗

免责声明：本文所涉及的任何技术、信息或工具，仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，...

07月16日44 views评论

阅读全文

安全文章

利用系统调用绕过杀软

免责声明请您仔细阅读以下声明：您在AtomsTeam查看信息以及使用AtomsTeam服务，表明您对以下内容的接受： AtomsTeam提供程序(方法)可能带有攻击性，仅供安全研究...

07月09日17 views评论

阅读全文

程序逆向

VMP源码分析：反调试与绕过方法

一vmp反调试相关源码部分1.1 如何检索反调试源码我们都知道，当vmp检测到被调试，会有如下弹框。通过这条报错信息，不难在源码中找到：然后通过它的消息传递机制，不难找到：void LoaderMes...

07月08日24 views评论

阅读全文

安全文章

bypass5 -【_LIST_ENTRY详解】shellcode免杀之动态获取API

文章首发先知：https://xz.aliyun.com/t/14937本公众号技术文章仅供参考！文章仅用于学习交流，请勿利用文章中的技术对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接...

06月27日22 views评论

阅读全文

转储 lsass - NativeDump

NativeDump 允许仅使用 NTAPI 转储 lsass 进程，生成一个 Minidump 文件，其中仅包含需要由 Mimikatz 或 Pypykatz 等工具解析的流（SystemInfo、...

06月20日安全工具28 views评论

阅读全文

程序逆向

免杀动态对抗之syscall[源码分析]

基础概念操作系统分为内核和应用层，从R0-R3，R0是内核，R3是用户层。windows中日常调用的api都是R3抽象出来的接口，虽然win32 api他也是R3接口，但是由于windows的设计思想...

06月15日56 views评论

阅读全文

安全文章

免杀-Unhook

免责声明：本文所涉及的任何技术、信息或工具，仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任...

06月03日22 views评论

阅读全文

安全文章

Syscall笔记

05月30日17 views评论

阅读全文

安全文章

edr对抗技术1-api unhook output

0x01 关于对抗api hook技术auth：cmrex文章灵感来自于：阿里云先知fdx师傅出现场景杀软会对敏感的api事先进行hook操作，例如：VirtualAllocmemcpyCreateR...

05月11日27 views评论

阅读全文

利用虚假 DLL、保护页和 VEH 实现增强EDR检测

GO静态免杀初探

LayeredSyscall——滥用 VEH 绕过 EDR

重生之我在干免杀-堆栈欺骗

利用系统调用绕过杀软

VMP源码分析：反调试与绕过方法

bypass5 -【_LIST_ENTRY详解】shellcode免杀之动态获取API

转储 lsass - NativeDump

免杀动态对抗之syscall[源码分析]

免杀-Unhook

Syscall笔记

edr对抗技术1-api unhook output

在线咨询

微信