本期作者/牛杰 前言反调试技术,是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和...
02月15日51 views评论恶意软件
调试器
反调试技术-上
02月15日51 views评论恶意软件
调试器
02月15日51 views评论恶意软件
调试器
PEB及其武器化
在Windows操作系统中,PEB是指" Process Environment Block ",它是一个数据结构,用于存储有关进程的信息,每个进程都有一个对应的 PEB 结构体。PEB提供了许多关于...
02月05日30 views评论线程
结构体
shellcode编写与简单运行
本篇文章用于记录思路和步骤(为了考虑兼容性,我们使用的是x86,x64的PEB结构位置会有一些不同)免责声明 文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何...
01月13日40 views评论peb
shellcode
渗透面试分享(含答案)-长期更新
“ 安全从业者的知识宝库” 01—高级免杀进程迁移如何绕过defender查杀?dll劫持一个白名单程序,启动该白名单程序,在该程序中执行进程迁移操作编写免杀dll,用lolbin加载注入到目标...
01月11日39 views评论amsi
powershell
红队武器开发基础(二)
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:10245声明:仅供学习参考,请勿用作违法用途目录PEB结构编写shellcode常用wina...
12月29日29 views评论module
peb
红蓝对抗-命令行欺骗
0X00 什么是命令行欺骗 创建进程时,内部Windows数据结构Process Environment Block将会映射到进程虚拟内存中。该数据结构包含有关进程本身的大量信息,例如已加载模块的列表...
06月07日50 views评论参数
进程
脱壳学习(二)- 反反调试篇
{点击蓝色 关注我们}前言继上一篇《脱壳学习计划1——计算机底层基础》有人私信说想看后续之后,我们就冲冲把2给肝出来了。今天这篇主要讲述常见的反调试技术和如何绕过反调试的实例。调试无论是在脱...
03月31日55 views评论反调试
调试器
CS 4.7 Stager 逆向及 Shellcode 重写
1. 概述 一直很想有一个自己的控,奈何实力不允许,CS 仍然是目前市面上最好用的控,但是也被各大厂商盯得很紧,通过加载器的方式进行免杀效果有限,后来看到有人用 go 重写了 CS 的 beacon,...
03月06日72 views评论ptr
shellcode
windows api隐藏结合进程篡改
泛星安全团队泛星安全团队第9篇文章声明文章内容为学习记录,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。工具、漏洞知识点总结Run PE技术、windows敏...
03月04日33 views评论api
函数
九维团队-红队(突破)| 汇编语言加载shellcode
一、环境准备关于汇编ide,最开始笔者使用的是vs的内联汇编来调试。后面发现它非常的不方便,只能支持masm,而笔者要写是nasm。最后在github上找到了SASM。下载的时候选择SASMSetup...
03月03日58 views评论data
exe
内核实现x86QQ防截屏
本文为看雪论坛优秀文章看雪论坛作者ID:breeze911防截屏需要hook一个函数NtGdiBitBlt, 实现代码在附件里。//本来我以为要hook两个函数呢,还有个NtGdiStretchBlt...
01月01日50 views评论handle
peb
KernelCallbackTable注入方法的修改方案
背景知识众所周知,xp以后的系统,ring3进ring0的方法是通过系统快速调用也就是sysenter/sysexit或syscall/sysret实现的,而与之类似的,NT 4.0开始,微软将之前纯...
12月14日程序逆向188 views评论user
方法
5