【软件逆向-银狐样本分析】此文章归类为:软件逆向。 银狐病毒 概述 msi在安装过程中执行恶意脚本,在C盘释放载荷ee.exe,ee.exe解密执行shellcode,shellcode通过多种手段执行反调试操作,添加Windows Defender的排除路径,解密字符串获取url后建立连接下载文件并解密,获得多个url,继续下载文件释放到指定路径
原创 周杰伦 1天前 阅读: 7 阅读时长: 9分钟
【编程技术-Windows主机入侵检测与防御内核技术深入解析(4)】此文章归类为:编程技术。 本系列文章为看雪星星人为看雪安全爱好者创作的原创免费作品。欢迎评论、交流、转载,转载请保留看雪星星人署名并勿用于商业盈利。本人水平有限,错漏在所难免,欢迎批评指正。第3章 微过滤驱动与模块执行防御(中)3.2 写文件操作处理的实现 &nbs
原创 周杰伦 1天前 阅读: 5 阅读时长: 9分钟
【软件逆向-F5 Shape最新版逆向分析-加解密和补环境】此文章归类为:软件逆向。 F5 Shape最新版逆向分析-加解密和补环境 前言 F5 Networks 收购了Shape Security又叫F5 shape,谷歌可以找到该公司相关资料。很多国外站都使用了该公司的产品作为登录接口的反机器人方案。 比如:美西南、xbk等,下文称之为Sha
原创 周杰伦 3天前 阅读: 11 阅读时长: 9分钟
【软件逆向-InfinityHook 可兼容最新版windows】此文章归类为:软件逆向。 前言最近看到各位师傅疯狂蹂躏TX安全竞赛的题,文章写得好到让我泪流满面。不由的羡慕起来师傅们的技术...ETW HOOK是一个经久不衰的话题了,本质上是微软的漏洞,再微软进行记录ETW时候系统调用的时候,被ETW相关组件拦截跑到记录的代码,因为涉及到的代码量实在
原创 周杰伦 4天前 阅读: 15 阅读时长: 9分钟
【CTF对抗-2024鹅厂游戏安全技术竞赛决赛题解-PC客户端】此文章归类为:CTF对抗。 一、Loader.sys分析 虚拟机系统环境:Windows 10 x64 1909 18363.418 调试环境:KDNET network kernel debugging 老规矩查壳 很好,什么也看不出来;直接拖IDA看看。 导入表有个E
原创 周杰伦 5天前 阅读: 21 阅读时长: 9分钟
【编程技术-Windows主机入侵检测与防御内核技术深入解析(3)】此文章归类为:编程技术。 本系列文章为看雪星星人为看雪安全爱好者创作的原创免费作品。欢迎评论、交流、转载,转载请保留看雪星星人署名并勿用于商业盈利。本人水平有限,错漏在所难免,欢迎批评指正。第3章 微过滤驱动与模块执行防御(上)  
原创 周杰伦 5天前 阅读: 12 阅读时长: 9分钟
【企业安全-华云安漏洞安全周报【第179期】】此文章归类为:企业安全。 根据国家信息安全漏洞库(CNNVD)统计,本周(2024.03.18~2024.03.24)CNNVD接报漏洞325个,其中信息技术产品漏洞(通用型漏洞)278个,网络信息系统漏洞(事件型漏洞)47个,其中华云安报送2个;CNNVD收录漏洞通报97份,其中华云安报送1份。本周重点关
原创 周杰伦 5天前 阅读: 14 阅读时长: 9分钟
【编程技术-mac ida7.0 调试 Android10 应用崩溃解决方案】此文章归类为:编程技术。 0 背景 ida 调试时经常需要加载 待调试动态库 之前 attach 到进程,常用的方式是以调试模式(adb shell am set-debug-app -w [--persistent] <packagename>)启动 app,
原创 周杰伦 5天前 阅读: 17 阅读时长: 9分钟
【软件逆向-etwhook 可兼容最新版windows】此文章归类为:软件逆向。 前言最近看到各位师傅疯狂蹂躏TX安全竞赛的题,文章写得好到让我泪流满面。不由的羡慕起来师傅们的技术...ETW HOOK是一个经久不衰的话题了,本质上是微软的漏洞,再微软进行记录ETW时候系统调用的时候,被ETW相关组件拦截跑到记录的代码,因为涉及到的代码量实在太大,微软
原创 周杰伦 5天前 阅读: 16 阅读时长: 9分钟
【编程技术-VMware 17.5 + Win11(22H2) 虚拟机串口内核调试问题】此文章归类为:编程技术。 我用 VMware 17.5.1 + Win11(22H2) 虚拟机,新建了虚拟机串口。但是用 Windbg 调试,虚拟机串口连接不上哦本机的 Windows7、Windows 10 虚拟机都是可以的。 有谁知道要怎么设置一下
原创 周杰伦 9天前 阅读: 14 阅读时长: 1分钟