0x01 前言熵值是用来衡量数据的随机性和不确定性的指标,高熵值表示数据更复杂和随机。对于Cobalt Strike生成的shellcode,早已被特征容易被AV检测,所以通常会采用加密、混淆等方式来...
『杂项』利用 Windows 白名单免杀
点击蓝字 关注我们日期:2023-10-08作者:Corl7介绍:介绍 3 种常用利用Windows白名单加载payload的方式。0x00 前言学习一下常用的利用Windows白名单加载payloa...
pitou新变种快速传播 于系统加载前执行
近期,火绒威胁情报系统监到木马病毒pitou的最新变种正在快速传播。该病毒感染系统后,可以根据C&C服务器下发的配置信息发送邮件进行钓鱼攻击和广告推销。同时,该病毒还采用内核级对抗手段来规避安...
laZzzy - shellcode 加载器
特征 直接系统调用和本机 ( Nt*) 函数(不是所有函数,但大多数) 导入地址表 (IAT) 规避 加密有效负载(XOR 和 AES) 随机生成的密钥 x90使用 NOPS ( )自动填充有效负载(...
AV 规避:Shellcode
PE 结构Windows 可执行文件格式,又称 PE (Portable Executable),是一种数据结构,用于保存文件所需的信息。是一种在磁盘上组织可执行文件代码的方法。Windows 操作系...
【Web渗透】初识shellcode免杀
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因常让攻击者获得shell而得名。shellcode常常使用机器语言编写,可在暂存器eip溢出后,塞入一段可...
不生成线程的远程TLS回调注入Poc
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。 关于 利用 TLS...
免杀之Shell混淆
点击蓝字 关注我们(本文由小貂快跑代发,原作者为“Ting”)01背景所谓杀软的静态扫描 ,就是通过提取磁盘中一个文件的特征码,然后与杀软自身报错的病毒库的特征码匹配,如果满足匹配结果,那么杀软将会将...
Agent Tesla内存邮箱取证
Agent Tesla远比较悠久,最早发现于2014商用售卖,后转手地下论坛售卖,家族历史和变种不计其数。 Tesla的远控手段有多种,比如FTP,HTTP,电子邮件,多数攻击团队偏好使用匿名邮箱...
【安全分析】详解黑产组织攻击样本的一些对抗技术
网安教育培养网络安全人才技术交流、学习咨询PART.01前言概述笔者针对黑产组织的一批攻击样本进行了详细跟踪分析,从这批攻击样本可以看出黑产组织一直在更新自己的攻击武器,里面使用了多个不同的对抗手法,...
【恶意文件】警惕,新的高仿后门植入物在野传播
恶意文件名称:360realpro.exe,MpGear.dll,Steam.exe威胁类型:后门木马简单描述:此次发现的样本是在原有合法文件的基础上进行二进制补丁处理后生成的后门木马,部分样本还在资...
黑产组织攻击样本的一些对抗技术
安全分析与研究专注于全球恶意软件的分析与研究前言概述 原文首发出处:https://xz.aliyun.com/t/13705先知社区 作者:熊猫正正笔者针对某个黑产组织的一批攻击样本进行了详细跟踪分...
70