ntdll - 第 6 | CN-SEC 中文网

CTF专场

win pwn初探（三）

上两节都是保护机制几乎都没开的情况下，这一节就开始学习绕过ASLR和GSwin pwn初探（三）这里以强网杯2020的easyoverflow来练习学习查看保护没有开SafeSEH和CFG，其他重要的...

01月08日24 views评论

阅读全文

安全文章

windows rootkit初探之隐藏

windows rootkit初探之隐藏Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程...

11月17日142 views评论

阅读全文

IoT工控物联网

2022年工业级EDR绕过蓝图

本文为看雪论坛优秀文章看雪论坛作者ID：VirtualCC两年前我成为一个全职红队人员。这是一个我内心十分喜欢的专业。就在几周前，我开始找寻一个新的副业，我决定开始捡起我的红队爱好——开始研究绕过端点...

11月17日84 views评论

阅读全文

程序逆向

反调试之RtlAddVectoredExceptionHandler

在Guloader加载器代码的开头，第一层shellcode解密完成后，接着会对比DJB2算法得到的哈希来获取特定的API函数。如下对比特定hash来导入API函数：F0D2CE31 == ...

11月13日136 views评论

阅读全文

安全新闻

TrickBot的木马分析-HEAVEN'S GATE

分析最近TrickBot的马时遇到了32位进程通过0x33段进入64位环境执行一段64位shellcode，直接让我放弃了用x32调试器继续调试的想法，指令、寄存器面目全非。以此开始了解了名为“HEA...

11月09日121 views评论

阅读全文

安全开发

如何保护自己的代码？给自己的代码添加NoChange属性

本文为看雪论坛优秀文章看雪论坛作者ID：一夜酒狂什么是NoChange？可以看一看这篇文章，自己去感受一下：https://bbs.pediy.com/thread-225080.htm添加NoCha...

10月07日40 views评论

阅读全文

安全文章

使用 avcleaner 对项目进行源码级免杀

前言SCRT安全团队开发的avcleaner工具可以对整个项目比如Meterpreter进行源码级别的免杀处理，通过分析抽象语法树的方式进行字符串混淆并重写系统调用来隐藏API函数的使用，使其绕过杀软...

10月01日65 views评论

阅读全文

程序逆向

Nim 中使用 EDR 规避技术的 WIP shellcode 加载器

通过将资源拼凑在一起创建一个实现常见 EDR/AV 规避技术的 shellcode 加载器。loader.nim用您自己的 x64 shellcode替换字节数组编译 EXE 并运行它：nim c -...

07月20日41 views评论

阅读全文

程序逆向

Hook示例及Syscall绕过

0x01 前言本文主要讲解应用层hook种类、技术以及利用Syscall进行绕过。0x02 应用层hook种类在实战应用层中hook技术多种多样，主要有消息hook、注入h...

07月08日310 views评论

阅读全文

SecIN安全技术社区

自定义跳转函数的通用unhook方法

0x00 前言 **本文介绍一种比较有意思的unhook手法，来源于小伙伴发的一个GitHub的POC：https://github.com/trickster0/LdrLoadDll-Unhooki...

06月30日19 views已关闭评论

阅读全文

安全闲碎

A blueprint for evading industry leading endpoint protection

本文原标题为：A blueprint for evading industry leading endpoint protection in 2022（译文），由于微信标题长度限制在此简记为 A bl...

05月13日29 views评论

阅读全文

程序逆向

Vmprotect3.5.1 壹之型 — 暗月·宵之宫

本文为看雪论坛优秀文章看雪论坛作者ID：冰鸡在很久很久以前，神奇的nooby有了个天才的想法，通过修改themida的引擎，使其强制输出了没有混淆和加密的程序，很轻松的就分析完了外壳逻辑和vm的逻辑，...

03月15日108 views评论

阅读全文

在线咨询

微信