蛇来运转,鸿运新年提出问题 在程序执行命令时,sysmon都会做出对应的监控。攻击者在执行main.exe <argv>都得到参数时候都会被记录,如下:可以发现我们执行的po...
04月08日15 views评论peb
project
进程命令行参数欺骗
04月08日15 views评论peb
project
04月08日15 views评论peb
project
绕过玄武安全卫士检测
玄武安全卫士应用在网吧场景主要是拦截外挂和盗号程序等,轻量级别的r0防护软件,只要被特征的外挂程序通过浏览器等入口下载,一落地外挂程序就会r0关机电脑。下载或打开被特征的外挂软件直接触发r0关机。绕过...
03月25日59 views评论pvoid
安全卫士
基于全局句柄表发现隐藏进程
首发于奇安信攻防社区:https://forum.butian.net/share/1416前言我们知道在0环进行PEB断链可以达到隐藏进程的效果,但是这只是作为权限维持的一种方法,如果要想完美的隐藏...
02月25日20 views评论ulong
应用层
Ntdll解除挂钩学习
欢迎加入我的知识星球,目前正在更新免杀相关的东西,129/永久,每100人加29,每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新93+ PDF文档,《2025年了,人生中最好的投资就是...
01月09日20 views评论dll文件
ntdll
免杀系列 - 无法让管理员找到你的木马进程
前言 进程镂空(Process Hollowing),又称为“傀儡进程”,是一种恶意软件(malware)利用的代码注入技术。它主要用于将恶意代码注入到合法进程中,以规避安全检测、提高恶...
01月06日10 views评论ctx
nmap
免杀-edr动态检测shellcode绕过
动态保护在某次演习中使用集权系统下发木马一直不上线,但是在没有该edr的机器却能够上线成功,随后本地测试也没被杀。双击执行后出现此界面。分析保护已知情况如下:在未执行shellcode时不会弹窗(包括...
12月26日241 views评论edr
shellcode
免杀对抗从0开始(六)
🔥师傅您好:为了确保您不错过我们的最新网络安全资讯、技术分享和前沿动态,请将我们设为星标🌟!这样,您就能轻松追踪我们的每一篇精彩内容,与我们一起共筑网络安全防线!感谢您的支持与关注!💪免责声明:文章所...
12月03日程序逆向7 views评论peb
结构体
PEB Walk:避免分析师在 IAT 中检查 API 调用并绕过 AV/EDR 的静态检测
概括在本博客中,我们讨论了 AV/EDR 静态分析和检测的不同方法。传统的防病毒软件依赖于基于签名的检测。它们计算二进制文件的哈希值,并查看此特定签名是否与数据库中已知的恶意软件签名匹配,然后相应地将...
11月23日29 views评论shellcode
恶意软件
傀儡进程的那些事
0x01 前言 进程的执行很容易被发现,在不利用驱动或者漏洞的情况下,在3环通过傀儡进程的方式实现进程隐藏,这种技术虽然很久之前就有了,但是和其他的免杀技术相结合也会达到很不错的效果,这种技术的...
11月15日31 views评论nmap
白名单
CVE-2011-1249漏洞分析
最近在学习内网渗透,在提权的时间遇到了利用CVE-2011-1249漏洞进行提权,通过在网上找到了POC,通过看源码来分析一下漏洞点。首先正常系统运行cmd程序,通过任务管理器可以看到运行是admin...
09月28日16 views评论modules
漏洞分析
网吧业务安全对抗(有源码)
网吧业务竞争激烈,网吧都会有以下系统软件。无盘:无盘是指没有硬盘。好处是统一维护管理和节约成本。本人研究无盘好几年,后面会专门发帖介绍。计费:是指收费系统。营销软件:包括销售饮品、零食和向客户发送电...
08月19日17 views评论filter
river
WriteProcessMemoryAPC - 使用 APC 调用将内存写入远程进程
本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。关于无问社区无问社区致力于打造一个面向...
07月14日17 views评论memo
queue