ulong | CN-SEC 中文网

程序逆向

逆向分析：Win10 ObRegisterCallbacks的相关分析

写这篇帖子主要是为记录ObRegisterCallbacks函数的相关分析，如有错误，欢迎批评指正。给出的为C伪代码，仅展示逻辑，不保证安全性。分析ObRegisterCallbacks函数C的伪代码...

04月21日1 views评论

阅读全文

应急响应

Windows 通用日志文件系统（CLFS）解析

01关于通用日志文件系统通用日志文件系统（CLFS）是Windows Vista引入的一种新的日志机制，它负责提供一个高性能、通用的日志文件子系统，专用客户端应用程序可以使用该子系统，多个客户端可以共...

04月21日8 views评论

阅读全文

安全开发

Python实现微信互拆体多开代码

代码 import os import time import ctypes import psutil import win32gui import win32process from ctypes...

03月10日11 views评论

阅读全文

安全闲碎

【商密测评】文件机密性保护功能的源代码

文件机密性保护功能的源代码在某密码应用系统中，系统客户端的本地存储的重要档案文件、会议视频文件等数据通过智能密码钥匙进行加密，保障其机密性。该智能密码钥匙具有商用密码产品认证证书且密码模块安全等级为二...

02月25日12 views评论

阅读全文

安全文章

基于全局句柄表发现隐藏进程

首发于奇安信攻防社区：https://forum.butian.net/share/1416前言我们知道在0环进行PEB断链可以达到隐藏进程的效果，但是这只是作为权限维持的一种方法，如果要想完美的隐藏...

02月25日19 views评论

阅读全文

反反rootkit覆盖驱动与隐藏线程

覆盖驱动与隐藏线程在上一篇博客中，我们有了一个小型反Rootkit驱动的开发。这个驱动能够检测映射到无支持内存的恶意驱动，前提是这些恶意驱动要么作为标准的Windows驱动运行（为IRP通信注册设备对...

02月18日安全文章14 views评论

阅读全文

程序逆向

Ntdll解除挂钩学习

欢迎加入我的知识星球，目前正在更新免杀相关的东西，129/永久，每100人加29，每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新93+ PDF文档，《2025年了，人生中最好的投资就是...

01月09日20 views评论

阅读全文

安全新闻

新型 DCOM 横向移动攻击

新型 DCOM 横向移动攻击简介这是一种强大的新 DCOM 横向移动攻击，该攻击允许将自定义 DLL 写入目标计算机，然后将它们加载到服务中，同时能够支持命令行参数。这种攻击主要通过逆向IMsiSer...

01月01日38 views评论

阅读全文

安全文章

新的Windows权限提升漏洞！ SSD 咨询 - cldflt 基于堆的溢出 (PE)

概括漏洞允许本地攻击者提升受影响的 Microsoft Windows 安装的权限。要利用此漏洞，攻击者必须首先获得在目标系统上执行低权限代码的能力。该特定缺陷存在于 Cloud Files Mini...

12月22日12 views评论

阅读全文

安全文章

新型 DCOM 横向移动攻击，忘记 PSEXEC：DCOM 上传并执行后门

执行摘要本博客文章介绍了一种强大的新型 DCOM 横向移动攻击，该攻击允许将自定义 DLL 写入目标计算机，将其加载到服务中，并使用任意参数执行其功能。这种类似后门的攻击通过反转其内部结构来滥用 IM...

12月17日23 views评论

阅读全文

安全文章

忘记 PSEXEC：DCOM 上传与执行后门

Forget PSEXEC DCOM Upload & Execute Backdoor执行摘要本博文介绍了一种强大的新型 DCOM 横向移动攻击方法，该方法允许将自定义 DLL 写入目标机器...

12月16日16 views评论

阅读全文

安全文章

HEVD系列之栈溢出

静态分析分析DriverEntry以及IRP_MJ_DEVICE_CONTROL的派遣函数，得到如下就是DeviceIoControl的派遣函数NTSTATUS __stdcall IrpDevice...

12月05日6 views评论

阅读全文

在线咨询

微信