ntdll - 第 4 | CN-SEC 中文网

程序逆向

免杀动态对抗之syscall[源码分析]

基础概念操作系统分为内核和应用层，从R0-R3，R0是内核，R3是用户层。windows中日常调用的api都是R3抽象出来的接口，虽然win32 api他也是R3接口，但是由于windows的设计思想...

06月15日57 views评论

阅读全文

安全文章

免杀-Unhook

免责声明：本文所涉及的任何技术、信息或工具，仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任...

06月03日25 views评论

阅读全文

安全文章

Syscall笔记

免责声明：本文所涉及的任何技术、信息或工具，仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，...

05月30日19 views评论

阅读全文

安全文章

edr对抗技术1-api unhook output

0x01 关于对抗api hook技术auth：cmrex文章灵感来自于：阿里云先知fdx师傅出现场景杀软会对敏感的api事先进行hook操作，例如：VirtualAllocmemcpyCreateR...

05月11日30 views评论

阅读全文

安全新闻

威胁狩猎：2017年零日漏洞 + Cobalt Strike加载器的新利用手法

执行摘要深度本能威胁实验室发现疑似针对乌克兰的针对性行动该操作使用CVE-2017-8570作为初始向量该行动无法归因于任何已知的威胁行为者该行动使用了针对Cobalt Strike Beaco...

05月06日21 views评论

阅读全文

程序逆向

一种解除反病毒软件函数钩子方法及代码验证

点击上方蓝字关注我们声明: 本文涉及的代码只用于技术研究, 不可用于非法用途, 如将本文中的代码用于非法用途造成的一切后果和损失,均由使用者自行承担法律责任。摘要几乎所有的安全产品在安装后, 会安装自...

03月26日16 views评论

阅读全文

安全文章

利用EDR预加载机制绕过EDR

1.摘要在之前的一篇文章中, 详细介绍了如何利用系统调用来绕过用户模式的EDR挂钩, 这里将介绍另一种EDR预加载的替代技术, 该技术涉及在EDR的DLL加载到进程之前运行恶意代码, 使我们能够完全阻...

02月16日57 views评论

阅读全文

程序逆向

dll加载链逆向与实现完美dll劫持

DLL 劫持是一种技术，它通过欺骗第三方代码加载错误的库（DLL）来将第三方代码注入到合法进程（EXE）中。发生这种情况的最常见方式是将相似的 DLL 放在搜索顺序中高于预期 DLL 的位置，...

02月15日60 views评论

阅读全文

完美的DLL劫持 | 翻译

点击蓝字原文始发于微信公众号（SecHub网络安全社区）：完美的DLL劫持 | 翻译

02月15日程序逆向35 views评论

阅读全文

程序逆向

通过重新映射ntdll.dll解除EDR hook

在这篇博客中，我们将深入探讨另一种可用于解开ntdll.dll的技术。在您的 DLL 被 EDR 挂钩的那一刻。我们将通过从磁盘加载 ntdll 来研究重新映射。我们还将验证 EDR 和您自己如何注意...

02月13日108 views评论

阅读全文

安全新闻

绕过EDR探索系列一 | 用户模式HOOK

前言山石网科情报中心在分析狩猎样本时，对一些EDR对抗技术做了技术沉淀。该系列将由浅入深介绍EDR相关安全对抗技术。什么是 syscallWindows下有两种处理器访问模式：用户模式（user mo...

01月16日70 views评论

阅读全文

程序逆向

免杀对抗-映射Ntdll.dll来取消挂钩EDR

EDR会在特定的Windows API函数上挂钩，例如NtWriteVirtualMemory函数，NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...

01月03日45 views评论

阅读全文

在线咨询

微信