当我们想要加载执行一个程序或者shellcode时,通常的做法就是双击exe执行,然而在攻防场景中这并不容易做到,考虑到有杀软或EDR设备的环境下,命令行执行很大概率也会报毒,这是因为进程的调用链是c...
Linux系统下的HOOK
本文作者/focusHOOK通过在系统调用或函数调用前以替换的方式改变程序中原有的函数功能,实现更改原有函数的功能。利用LD_PRELOAD进行HOOKLinux提供了一个名为LD_PRELOAD的环...
EDR下远程线程安全指南
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:12985声明:仅供学习参考,请勿用作违法用途目录前记进程断链回调执行纤程内存属性修改early bird+Map...
TLS 注入
本期作者/牛杰概述TLS 回调来执行有效负载,而不在远程进程中生成任何线程。此方法受到无线程注入的启发,因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入...
免杀学习-基础-一
所有的免杀学习都需要从如何执行shellcode开始,那么该如何执行shellcode呢?执行shellcode的方式又有哪些呢?该专题就是从入门开始,一步步打基础。学完免杀达到的效果过ESET过卡巴...
计算地址实现内存免杀
点击上方[蓝字],关注我们免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。文章正文免杀是同所有...
挂钩Sleep函数绕过BeaocnEye
为什么要挂钩Sleep函数?因为杀软不是一直在扫描内存,所以我们可以在Cobalt Strike的睡眠期间进行堆栈加密来避免杀软扫到我们的恶意载荷。先来看效果:如下这是我们loader程序,我们运行起...
【免杀2】过静态shellcode编码(降熵)
本公众号技术文章仅供参考!文章仅用于学习交流,请勿利用文章中的技术对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。(为什么这篇是二,因为一还没准备好...
LOLbin致盲360核晶
观察这篇帖子:http://bbs.360.cn/thread-14258093-1-1.html tips:&nb...
PE结构指南:c语言武器开发基础
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:16529声明:仅供学习参考,请勿用作违法用途目录c语言基础一级指针二(多)级指针函数指针内联...
免杀专题笔记(4)
后面的更新由我朋友进行更新。shellcode免杀异或第一次异或的时候会将我们的shellcode改变,第二次异或的时候就会还原我们的shellcode。它的优点在于他不调用相关的API函数,它的本质...
x64内核-页机制的研究
CR4寄存器在白皮书的第三卷2.5章对控制寄存器有详细的介绍,下面是白皮书中CR寄存器的结构图(这里要说明一下cr4的第12位是由被使用的这个位在2.5章的后半部分有介绍是控制是否开启5级分页的位否则...