PE 结构Windows 可执行文件格式,又称 PE (Portable Executable),是一种数据结构,用于保存文件所需的信息。是一种在磁盘上组织可执行文件代码的方法。Windows 操作系...
02月28日程序逆向18 views评论shellcode
代码
AV 规避:Shellcode
02月28日程序逆向18 views评论shellcode
代码
02月28日程序逆向18 views评论shellcode
代码
通过重新映射ntdll.dll解除EDR hook
在这篇博客中,我们将深入探讨另一种可用于解开ntdll.dll的技术。在您的 DLL 被 EDR 挂钩的那一刻。我们将通过从磁盘加载 ntdll 来研究重新映射。我们还将验证 EDR 和您自己如何注意...
02月13日18 views评论edr
可执行文件
浅谈虚假父进程下的免杀、提权
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:23380声明:仅供学习参考,请勿用作违法用途目录前记普通权限的父进程欺骗ShllCode上线...
02月10日11 views评论pe
进程
PE文件格式
点击蓝字 关注我们 PE文件格式 01 可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件。在不同的操作系统环境下,可执行程序的呈现方式不一样。 Windo...
02月09日15 views评论pe
可执行文件
软件逆向之PE文件
PE(Portable Executable)文件是可移植的可执行文件,常见的如 EXE、DLL、OCX、SYS、COM等都是PE文件。凡是以二进制形式被系统加载执行的文件都是PE文件。 其实PE文件...
12月17日16 views评论pe
地址
APT之旅 - PE静态内容结构
⼀、前⾔⼆、PE 结构 1. DOS Header 2. NT Headers (1)File Header (2)Optional Header (3)DataDirectory 3. Sectio...
07月29日10 views评论pe
section
滥用未记录的功能来欺骗 PE 节标题
介绍前段时间,我在调试一个不相关的项目时,无意中发现了PE文件中一些有趣的行为。我注意到,将SectionAlignmentNT 标头中的值设置为低于页面大小 (4096) 的值会导致图像映射到内存的...
06月26日37 views评论pe
内存
滥用未记录的功能来欺骗 PE 部分标题
介绍 前段时间,在调试一个不相关的项目时,无意中发现了PE文件中一些有趣的行为。我注意到将SectionAlignmentNT 标头中的值设置为低于页面大小 (4096) 的值会导致图像映射到内存的方...
06月16日4 views评论v
内存
xuanjian5 虚拟机镜像分享+部署物理机
https://bbs.anhunsec.cn/d/213-xuan-jian-5-xu-ni-ji-jing-xiang-fen-xiang-bu-shu-wu-li-ji/3 Part1简述 悬剑...
05月20日568 views评论备份
镜像
Mac恶意软件MacStealer伪装成P2E应用程序大肆传播
趋势科技的研究人员检测到Mac恶意软件MacStealer通过网站、社交媒体和消息平台Twitter、Discord和Telegram大肆传播。MacStealer,是使用 Telegram 作为命令...
04月20日28 views评论恶意软件
研究人员
【软件保护】VMProtect Professional v3.8.1.1695
下载地址: 我用夸克网盘分享了「VMProtect Professional v3.8.1 Build.zip」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5倍速,支持电视投...
04月17日290 views评论pe
professional
技术干货 | VCenter获得锁屏机器Hash之PE系统进入
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作! 欢迎各位添加...
03月18日18 views评论hash
系统