09 2021 档案
摘要:什么是SysCall 在Windows中,进程处理体系被分为两种:用户模式和内核模式. Notepad++ 随便写一个文件我们查看一下这个操作 其中 U 代表是用户层, K 代表的是内核层,我们可以看见创建文件这个操作首先是调用 ntdll!NtCreateFile 之后切换为内核层的 ntoskr
阅读全文
摘要:使用的Profile文件内容为 分析Beacon端流量特征 生成一个 Http 的木马,受害者机器执行,观察WireShark中的流量特征 首先会 GET 请求 xf1N 路径,因为我们生成的木马是 stager 功能并不齐全,需要在额外加载 stage 前面数百个Tcp包就是我们发送的 stage
阅读全文