关于RustiveDump RustiveDump是一款基于NT系统调用的LSASS内存转储工具,该工具使用Rust开发,旨在帮助广大研究人员仅使用NT 系统调用转储lsass.exe进程的内存。 该...
ShellCode多重加密之XOR免杀小栗子
星球优惠活动不多解释,自己看,想加就加原文始发于微信公众号(应龙信安攻防实验室):ShellCode多重加密之XOR免杀小栗子
Waffles Crypt:C/C++ 中 Shellcode 加密和混淆的模块化方法
Waffles Crypt 是一款多功能的 C/C++ 工具,用于加密和混淆 shellcode。它支持 XOR、RC4 和 AES 加密,具有自定义的 MAC、IPv4 和 IPv6 反混淆功能,不...
完全未被检测到的shellcode启动器
2021年5月13日:c++ shellcode启动器,截至2021年5月13日,0/26完全未被检测到。win32 api函数的动态调用shellcode和函数名的异或加密每次运行随机XOR键和变量...
Ghostpulse 恶意软件加载程序完美隐藏在 PNG 图像文件中
导 读Ghostpulse 恶意软件通过 PNG 图像文件的像素检索其主要有效载荷。安全专家表示,这一发展是自 2023 年推出以来,幕后黑手做出的“最重大的改变之一”。PNG 图像文件格式广泛用于网...
强网拟态2024 Writeup
本次强网拟态 2024,我们Polaris战队排名第10。CryptoXORdata = "0b050c0e180e585f5c52555c5544545c0a0f44535f0f5e44565859...
聊聊一种简单bypass WDF的方法
前言 红尘毒酒,一经入喉,再难回头。 01MemoryEvasion 项目地址:https://github.com/ShadowMccc/MemoryEvasion 大致意思是在加载sh...
GO静态免杀初探
更多全球网络安全资讯尽在邑安全Go加载器网上找的Go加载器,最简单的免杀就是将shellcode加密解密,或者远程加载shellcode。package mainimport ( "syscall" ...
XOR 已知明文攻击
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
Shellcode 已死,无文件 Shellcode 万岁
最近,我正在开发一个简单的 Shellcode 加载器,它使用回调作为 Shellcode 执行的替代方案。虽然它可以绕过每次运行时扫描,但无法绕过签名检测。因此,我启动了ThreatCheck来识别...
行业研究|海莲花活跃木马KSRAT加密通信分析
1概 述自2023年8月至今,海莲花组织多次利用KSRAT远控木马对我国发起攻击。KSRAT通过HTTP协议与C&C服务器进行通信,每个样本都使用了不同的URL。其心跳包采用XOR算法进行加密...
使用 XOR 加密 Shellcode | 使用 C 语言进行攻击性编码
大家好,红队成员。AV 规避技术之一是加密。虽然加密算法有很多,但 XOR 确实很方便且易于实现。让我们用 C 来实现它。理论为什么我们需要加密?AV 供应商主要有两种检测技术。基于签名基于启发式第一...