0x01 前言熵值是用来衡量数据的随机性和不确定性的指标,高熵值表示数据更复杂和随机。对于Cobalt Strike生成的shellcode,早已被特征容易被AV检测,所以通常会采用加密、混淆等方式来...
03月05日14 views评论shellcode
xor
熵-shellcode to xxx
03月05日14 views评论shellcode
xor
03月05日14 views评论shellcode
xor
『杂项』利用 Windows 白名单免杀
点击蓝字 关注我们日期:2023-10-08作者:Corl7介绍:介绍 3 种常用利用Windows白名单加载payload的方式。0x00 前言学习一下常用的利用Windows白名单加载payloa...
03月05日29 views评论payload
shellcode
pitou新变种快速传播 于系统加载前执行
近期,火绒威胁情报系统监到木马病毒pitou的最新变种正在快速传播。该病毒感染系统后,可以根据C&C服务器下发的配置信息发送邮件进行钓鱼攻击和广告推销。同时,该病毒还采用内核级对抗手段来规避安...
02月28日15 views评论shellcode
磁盘
laZzzy - shellcode 加载器
特征 直接系统调用和本机 ( Nt*) 函数(不是所有函数,但大多数) 导入地址表 (IAT) 规避 加密有效负载(XOR 和 AES) 随机生成的密钥 x90使用 NOPS ( )自动填充有效负载(...
02月28日20 views评论c
shellcode
AV 规避:Shellcode
PE 结构Windows 可执行文件格式,又称 PE (Portable Executable),是一种数据结构,用于保存文件所需的信息。是一种在磁盘上组织可执行文件代码的方法。Windows 操作系...
02月28日程序逆向18 views评论shellcode
代码
【Web渗透】初识shellcode免杀
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因常让攻击者获得shell而得名。shellcode常常使用机器语言编写,可在暂存器eip溢出后,塞入一段可...
02月27日23 views评论shellcode
syscall
不生成线程的远程TLS回调注入Poc
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。 关于 利用 TLS...
02月26日24 views评论shellcode
地址
免杀之Shell混淆
点击蓝字 关注我们(本文由小貂快跑代发,原作者为“Ting”)01背景所谓杀软的静态扫描 ,就是通过提取磁盘中一个文件的特征码,然后与杀软自身报错的病毒库的特征码匹配,如果满足匹配结果,那么杀软将会将...
02月24日20 views评论shellcode
uuid
Agent Tesla内存邮箱取证
Agent Tesla远比较悠久,最早发现于2014商用售卖,后转手地下论坛售卖,家族历史和变种不计其数。 Tesla的远控手段有多种,比如FTP,HTTP,电子邮件,多数攻击团队偏好使用匿名邮箱...
02月23日13 views评论payload
shellcode
【安全分析】详解黑产组织攻击样本的一些对抗技术
网安教育培养网络安全人才技术交流、学习咨询PART.01前言概述笔者针对黑产组织的一批攻击样本进行了详细跟踪分析,从这批攻击样本可以看出黑产组织一直在更新自己的攻击武器,里面使用了多个不同的对抗手法,...
02月22日11 views评论payload
恶意软件
【恶意文件】警惕,新的高仿后门植入物在野传播
恶意文件名称:360realpro.exe,MpGear.dll,Steam.exe威胁类型:后门木马简单描述:此次发现的样本是在原有合法文件的基础上进行二进制补丁处理后生成的后门木马,部分样本还在资...
02月22日112 views评论shellcode
深信服
黑产组织攻击样本的一些对抗技术
安全分析与研究专注于全球恶意软件的分析与研究前言概述 原文首发出处:https://xz.aliyun.com/t/13705先知社区 作者:熊猫正正笔者针对某个黑产组织的一批攻击样本进行了详细跟踪分...
02月21日7 views评论payload
恶意软件
70