Windows下有两种处理器访问模式:用户模式和内核模式。用户模式下运行应用程序时,Windows 会为该程序创建一个新进程,提供一个私有虚拟地址空间和一个私有句柄表,因为私有,一个应用程序无法修改另...
0xUnion战队2022祥云杯writeup
0xUnion战队是我们的全新战队,我们不聊天,我们只写代码。“祥云杯”作为战队第一场CTF比赛。虽然没有进线下,也算学习提高吧!导语:两天的祥云杯结束了,几个队员全力以赴的时间有限,到了最后半天才冲...
UDRL、SleepMask 和 BeaconGate
UDRL, SleepMask, and BeaconGate在过去几天里,我一直在研究 Cobalt Strike 的 UDRL、SleepMask 和 BeaconGate 功能。花了一些时间来理...
深入理解系统调用:原理、应用与最佳实践
*本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。01用户态 API 挂钩用户模式 API 挂钩使 EDR 能够动态检查在 Windows API 或本机 API 上下文中执行的...
绕过 noexec 并执行任意二进制文件
原文地址:https://iq.thc.org/bypassing-noexec-and-executing-arbitrary-binaries 前言 项目地址:https://github.com...
Syscall绕过EDR
欢迎加入我的知识星球,目前正在更新免杀相关的东西,129/永久,每100人加29。加好友备注星球!!!一些资源的截图:本文基于如下文章:https://whiteknightlabs.com/2024...
Linux安全漏洞:绕过挂载选项参数 noexec 并执行任意文件
长话短说: 当执行不被允许时(例如受限的 PHP 环境、只读文件系统或 noexec 挂载标志),在 Linux 系统上执行二进制文件。仅使用 Bash 并从 Bash 中进行系统调用,将 ELF 二...
【PWN】ret2syscall
原理 # ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用? 操作系统提供给用户的编程接口 是提供访问操作系统所管理的底层硬件的接口 本质上是一些内核函数代码,以规范的...
LayeredSyscall - 滥用向量异常处理来绕过 EDR
通过滥用矢量异常处理 (VEH) 来绕过 Windows 中的用户态 EDR 挂钩,从而生成合法的调用堆栈框架以及间接系统调用。随附的博客文章可以在此处找到:LayeredSyscall – 滥用 V...
Fuzzer开发 2:沙盒化系统调用
一介绍如果你还不知道,我们最近在博客上开发了一个模糊测试工具。我甚至不确定“模糊测试器”这个词是否合适来形容我们正在构建的东西,它几乎更像是一个暴露钩子的执行引擎?无论如何,如果你错过了第一集,你可以...
GO静态免杀初探
更多全球网络安全资讯尽在邑安全Go加载器网上找的Go加载器,最简单的免杀就是将shellcode加密解密,或者远程加载shellcode。package mainimport ( "syscall" ...
红队免杀系列之自动化Loader解读(一)
前言本是青灯不归客,却因浊酒恋红尘01D1rkLdr上章简单讲了手写加载器,那么本章,聊聊公开的那些自动化生成的免杀规避加载器,解读一下主体代码运用的技术,以及免杀效果,由于以下的代码项目较多,于是仅...