安全文章

利用EDR预加载机制绕过EDR

1.摘要在之前的一篇文章中, 详细介绍了如何利用系统调用来绕过用户模式的EDR挂钩, 这里将介绍另一种EDR预加载的替代技术, 该技术涉及在EDR的DLL加载到进程之前运行恶意代码, 使我们能够完全阻...
admin 02月16日54 views评论edr ptr
阅读全文
安全文章

TLB

什么是TLB表前面介绍了两种分页模式,本篇来介绍一下TLB,在说TLB之前,我们先来想象一个场景。在我们日常工作中,如果指令大多数是:mov eax,dword ptr ds:[0x12345001]...
admin 02月15日11 views评论pte ptr
阅读全文
安全文章

内存休眠时混淆技术二:相知

内存休眠时混淆技术相知前言又是许久未更的一篇文章,不出意外的话,这应该是我农历年之前的最后一更了,感谢默默关注我的小伙伴们,在这里提前祝大家新年快乐,希望在新的一年里带给大家更多更好的文章,话不多说开...
admin 02月04日130 views评论ptr shellcode
阅读全文

PE逆向-迷宫程序-KeyFile保护破解

最近一直在学习逆向,就记录一下新手难关如何一步一步分析,最后得到结果的吧!因为录了一个视频总结,所以这里就放分析时的笔记了。视频说的比较繁琐,因为是基础,所以说的太繁琐了。有基础的还是跳着看把。视频地...
admin 01月25日程序逆向14 views评论ptr push
阅读全文
程序逆向

反射 DLL 注入

本期作者/shadow在之前的文章中,通过模拟 Windows 映像加载程序的功能,完全从内存中加载 DLL 模块,而无需将 DLL 存储到磁盘上,但这只能从本地进程中加载进内存中,如果想要在目标进程...
admin 01月20日26 views评论ptr struct
阅读全文
程序逆向

雷石|病毒样本分析

一个简单的病毒样本,病毒样本呈现了相对基础但具有潜在危害的汇编代码结构。从逐句分析汇编代码的角度来看,病毒的主要行为主要包括以下几个方面:01.内存操作接下来的汇编代码分析表明,通过将值1C(28)压...
admin 01月14日22 views评论ptr push
阅读全文