sizeof - 第 2 | CN-SEC 中文网

程序逆向

【MalDev-10】免杀-1

04-免杀01-了解查杀机制静态查杀：通过静态字节、字符特征进行查杀，如函数名、变量名等，与已知规则进行比对，如YARA工具。可以尽量不用硬编码方式避免静态查杀启发式查杀：1-反汇编查看功能代码段是否...

12月28日15 views评论

阅读全文

安全文章

新的Windows权限提升漏洞！ SSD 咨询 - cldflt 基于堆的溢出 (PE)

概括漏洞允许本地攻击者提升受影响的 Microsoft Windows 安装的权限。要利用此漏洞，攻击者必须首先获得在目标系统上执行低权限代码的能力。该特定缺陷存在于 Cloud Files Mini...

12月22日11 views评论

阅读全文

安全文章

【技术干货】QEMU-CVE-2020-7039

知识前置Slirp模块QEMU内部网络分为两部分：提供给客户的虚拟网络设备(E1000 PCI网卡...).与模拟NIC交互的网络后端(例如，将数据包放入主机的网络).默认情况下，QEMU将为gues...

12月17日9 views评论

阅读全文

程序逆向

免杀基础-进程遍历的方式

本文介绍三种常见进程遍历的方式基于CreateToolHelp32Snapshot基于EnumProcesses的和基于NtQuerySystemInformation的前者在沙箱中爆可疑行为后两者...

12月17日7 views评论

阅读全文

安全文章

免杀 | 6种进程注入的方式

注入方式根据各阶段调用的API，读写的内存位置的区别进行如下分类（实战中常用的 6 种）：1、远程线程注入image-20230410210651326原始的注入手法。通过API申请空间，然后将co...

11月05日15 views评论

阅读全文

安全新闻

Realtek SD 读卡器驱动程序中的漏洞影响戴尔、联想和其他笔记本电脑

我觉得这个有价值，但是不想用心翻译了，因为看的人太少，想看的人也喜欢看原文，那就看原文吧。下面只是简单机翻。我在 Realtek 开发的 SD 卡读卡器驱动程序 RtsPer.sys 中发现了多个漏洞...

10月29日13 views评论

阅读全文

安全新闻

深度研究APT组织Strom0978的高级注入技术StepBear

简介在2024-04-23的时候,qax的威胁情报团队披露了一个史无前例的攻击手法:《EDR的梦魇：Storm-0978使用新型内核注入技术“Step Bear”》https://ti.qianxin...

10月28日15 views评论

阅读全文

程序逆向

利用CE的DBK驱动获取R0权限

一分析CE7.0的DBK驱动CE的DBK驱动提供了一些很直接的IOCTL接口，包括在分配内核中的非分页内存、执行内核代码、读写任意内存地址、建立mdl映射等，下面展示了DBK驱动通过IOCTL接口提供...

10月18日18 views评论

阅读全文

PHP 例题 | 绕过 POST 包最大限制

利用文件上传，绕过POST包最大大小的题目，很久之前做的，也忘了发公众号。臭毛病以后改掉。。```php<?phphighlight_file(__FILE__);error_reporting...

10月10日安全文章12 views评论

阅读全文

安全文章

WIN32实现远程桌面监控

关注并星标🌟 一起学安全❤️作者：coleak 首发于公号：渗透测试安全攻防字数：5550声明：仅供学习参考，请勿用作违法用途目录完整代码API简介调试代码后记reference前记实时监控原理：...

09月28日9 views评论

阅读全文

安全文章

EarlyBird注入shellcode代码实现

#include <tchar.h>#include <Windows.h>#include <TlHelp32.h>#include <vector>...

08月09日15 views评论

阅读全文

安全文章

EarlyBird注入dll代码实现

#include <tchar.h>#include <Windows.h>#include <TlHelp32.h>#include <vector>...

08月09日12 views评论

阅读全文

【MalDev-10】免杀-1

新的Windows权限提升漏洞！ SSD 咨询 - cldflt 基于堆的溢出 (PE)

【技术干货】QEMU-CVE-2020-7039

免杀基础-进程遍历的方式

免杀 | 6种进程注入的方式

Realtek SD 读卡器驱动程序中的漏洞影响戴尔、联想和其他笔记本电脑

深度研究APT组织Strom0978的高级注入技术StepBear

利用CE的DBK驱动获取R0权限

PHP 例题 | 绕过 POST 包最大限制

WIN32实现远程桌面监控

EarlyBird注入shellcode代码实现

EarlyBird注入dll代码实现

在线咨询

微信