ppid欺骗与排查 PPID欺骗 CreateProcess创建的进程 通过在STARTUPINFO中添加PROC_THREAD_ATTRIBUTE_PARENT_PROCESS来指定父进程句柄 遍历...
02月27日12 views评论ssid
进程
免杀基础-ppid伪造
02月27日12 views评论ssid
进程
02月27日12 views评论ssid
进程
PE文件结构:NT头部
NT 头部(NT Header)是 PE 文件格式的核心部分之一,它包含了有关程序如何加载、执行以及一些重要的文件属性。NT 头部常被认为是PE 头部的核心或“真正的”PE 头部,因为操作系统加载 P...
12月08日13 views评论pe
标识符
2023腾讯游戏安全PC决赛复现
作者论坛账号:Kvancy 前言 最近一直在做往年腾讯游戏安全PC端的复现,但是2023年决赛的题做到第三问就开始有点做不动了,想在网上找找题解但是并没有找到,于是便想分享一下自己的解题经验和第三问的...
08月16日28 views评论pe
snapshot
人人都能免杀2.0-团队工具-PECracker
免责声明: 前言 (这只是一个整合的demo,为了更好的免杀性能,后续会酌情开源到星球)对于PE头的一些变形技术都比较老了。利用哈希校验漏洞感染文件同时不影响签名有效性的POC,在21年就已经披露了,...
08月13日101 views评论crack
er
BypassAV:基于PE Patch技术的后渗透免杀工具
01 工具介绍 一款基于PE Patch技术的后渗透免杀工具,对WeChat.exe进行Patch,实现了从文件加载shellcode,无任何加密,请使用Sgn项目对shellcode进行编码。 02...
08月06日125 viewsBypassAV:基于PE Patch技术的后渗透免杀工具已关闭评论shellcode
后渗透
PE文件结构详解
基本概念 「PE」(Portable Execute)文件是Windows下可执行文件的总称,常见的有 DLL,EXE,OCX,SYS 等。它是微软在 UNIX 平台的 COFF(通用对象文件格式)基...
08月05日35 views评论可执行文件
程序
从 PE 资源加载和执行 shellcode
前言 本实验展示了一种技术,即如何使用 Visual Studio 的 PE资源从 C 程序中加载和执行非暂存 shellcode。 如果您曾经尝试过从 C/C++ 程序执行未暂存的 shellcod...
07月25日25 views评论meterpreter
shellcode
服务器数据文件备份教程
1.前期准备 1.1硬件准备 1. 大于16G u盘*1。如果仅备份数据文件不备份系统盘,可以不使用U盘安装PE系统。2. 大于备份文件容量的机械硬盘或固态硬盘*1。 1.2软件准备 1.2.1工具一...
06月24日16 views评论备份
模式
windows逆向基础-PE文件结构详解(上)
在进行反病毒、反调试以及免杀制作时,加壳和脱壳技术是必不可少的。这些技术涉及到对可执行文件的PE结构进行操作和修改。PE结构是Windows操作系统中可执行文件的一种标准格式,包含了程序的代码、数据、...
05月19日18 views评论pe
可执行文件
AV 规避:Shellcode
PE 结构Windows 可执行文件格式,又称 PE (Portable Executable),是一种数据结构,用于保存文件所需的信息。是一种在磁盘上组织可执行文件代码的方法。Windows 操作系...
02月28日程序逆向26 views评论shellcode
代码
通过重新映射ntdll.dll解除EDR hook
在这篇博客中,我们将深入探讨另一种可用于解开ntdll.dll的技术。在您的 DLL 被 EDR 挂钩的那一刻。我们将通过从磁盘加载 ntdll 来研究重新映射。我们还将验证 EDR 和您自己如何注意...
02月13日100 views评论edr
可执行文件
浅谈虚假父进程下的免杀、提权
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:23380声明:仅供学习参考,请勿用作违法用途目录前记普通权限的父进程欺骗ShllCode上线...
02月10日43 views评论pe
进程