ntdll - 第 5 | CN-SEC 中文网

程序逆向

映射Ntdll.dll来取消挂钩EDR

EDR会在特定的Windows API函数上挂钩，例如NtWriteVirtualMemory函数，NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕...

01月03日35 views评论

阅读全文

安全文章

多种基础Shellcode加载器

关注本公众号，长期推送漏洞文章免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章...

12月28日31 views评论

阅读全文

安全文章

分析 - Microsoft Excel 远程代码执行漏洞 CVE-2023-36041

最近，思科的 Talos 情报小组揭露了Microsoft Excel（一种普遍存在的数据管理和分析工具）中的一个严重漏洞。该漏洞编号为 CVE-2023-36041，CVSS 评分为 7.8，存在于...

11月25日137 views评论

阅读全文

安全新闻

恶意软件攻击技术大揭秘——直接系统调用

近年来，我们发现恶意使用直接系统调用来逃避安全产品挂钩的情况有所增加。这些挂钩用于监视可能存在恶意活动的 API 调用。什么是API hookAPI 挂钩是防病毒和 EDR 解决方案使用的一种技术，旨...

11月23日61 views评论

阅读全文

程序逆向

系统调用-3环进0环

系统调用-3环进0环前篇前面我们简单的介绍了一下，当我们在3环调用WindowsAPI时，系统是如何从3环调用0环的函数，那么本篇就来详细介绍一下，到底是怎么进入的，有哪几种方式。1_KUSER_SH...

11月21日87 views评论

阅读全文

安全文章

基于C++的绕过EDR的POC

点击蓝字关注我们免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...

11月13日68 views评论

阅读全文

程序逆向

如何快速从 64 位转储文件中找到异常发生时的线程上下文

一前言经常做调试的朋友可能会遇到在windbg里通过k系列命令得到的调用栈没有太大参考意义。一般是由于线程上下文不对导致的。这时候可以通过!analyze -v让windbg自动帮我们分析出正确的调用...

10月30日9 views评论

阅读全文

程序逆向

直接系统调用学习记录

什么是直接系统调用直接系统调用是windows系统上的操作,允许用户模式临时到内核模式.攻击者无需从kenel32.dll获取api或者是ntdll.dll。EDR现在的EDR厂商实现在Ring3层实...

10月20日21 views评论

阅读全文

安全文章

浅谈EDR绕过(猫&鼠还是象棋)

扫码领资料获黑客教程免费&进群这篇文章介绍了作者去年提出的一种新方法，用于阻止EDR DLLs加载到新生成的进程中。经过几个月的努力，作者成功地实现了这个想法，并在今年的x33fcon和Tro...

07月20日71 views评论

阅读全文

安全文章

如何使用Acheron修改Go程序中并尝试绕过反病毒产品的检测

【FreeBuf福利群招新啦！精美周边、现金红包送送送...满50人开启第一次抽奖，FreeBuf盲盒*2满100人开启第二次抽奖，FreeBuf大象公仔*2......群内不定期开启各种福利活动，包...

06月30日28 views评论

阅读全文

安全工具

HookDump - EDR钩子检测

低误报率检查DLL的列表，而不仅仅是NTDLL在一个函数的第二或第三条指令中找到钩子检测WOW系统调用存根的篡改情况没有ASCII艺术 &nb...

06月06日43 views评论

阅读全文

映射Ntdll.dll来取消挂钩EDR

多种基础Shellcode加载器

分析 - Microsoft Excel 远程代码执行漏洞 CVE-2023-36041

恶意软件攻击技术大揭秘——直接系统调用

系统调用-3环进0环

基于C++的绕过EDR的POC

如何快速从 64 位转储文件中找到异常发生时的线程上下文

直接系统调用学习记录

浅谈EDR绕过(猫&鼠还是象棋)

如何使用Acheron修改Go程序中并尝试绕过反病毒产品的检测

最新GoLang免杀过国内主流杀软及卡巴斯基

HookDump - EDR钩子检测

在线咨询

微信