01 2024 档案
摘要:
恶意软件作者通常会编写恶意软件模仿合法的Windows进程。因此,我们可能会看到恶意软件伪装成svchost.exe、rundll32.exe或lsass.exe进程,攻击者利用的就是大多数Windows用户可能都不清楚这些系统进程在正常情况下的行为特征。在这篇文章中,我们将深挖rundll32.exe,以期对其有所了解。
阅读全文
![深挖 Rundll32.exe 的多种“滥用方式”以及其“独特”之处](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240117131347037-1513911437.png)
摘要:
ReadDirectoryChangesW 是Windows提供一个函数,它属于Windows API的一部分,主要用于监视文件系统中目录的修改、新增、删除等变化,并通过回调函数向应用程序提供通知。该API很实用,目前市面上已知的所有运行在用户态同步应用,都绕不开这个接口。但正确使用该API相对来说比较复杂,该接口能真正考验一个Windows开发人员对线程、异步IO、可提醒IO、IO完成端口等知识的掌握情况。
阅读全文
![深入了解 ReadDirectoryChangesW 并应用其监控文件目录](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240116122700239-1360216072.png)
摘要:
LSP 劫持是一种计算机安全漏洞和攻击技术,通常与Windows操作系统相关。它涉及到网络协议栈中的层式服务提供程序(Layered Service Provider,LSP),这些提供程序用于修改、监视或过滤网络流量。LSP劫持是指攻击者通过操纵LSP,以在网络通信中插入恶意代码或进行网络监听,从而捕获敏感信息或执行恶意操作。
阅读全文
![LSP 网络劫持(Layered Service Provider Hijacking)](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240115193320509-605097141.png)
摘要:
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现DLL注入(ShellCode 形式)。
阅读全文
![创建傀儡进程svchost.exe并注入DLL文件(Shellcode)](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240114120852540-1571472331.png)
摘要:
由于 QQ 9.7.20 版本后已经不能通过模拟网页快捷登录来截取 QQClientkey / QQKey,估计是针对访问的程序做了限制,然而经过多方面测试,诸多的地区、环境、机器也针对这种获取方法做了相应的措施,导致模拟网页快捷登录来截取数据被彻底的和谐,为了解决这个问题我们只能更改思路对 KernelUtil.dll 下手。
阅读全文
![通过 KernelUtil.dll 劫持 QQ / TIM 客户端 QQClientkey / QQKey 详细教程(附源码)](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240113102908687-1014659580.png)
摘要:
最近发现之前的代码不能截取 QQ邮箱 的 QQClientkey / QQKey,经过一番调试后发现 QQ邮箱 更新了获取的流程,所以决定重新发布一篇文章,废话不多,直接上教程,喜欢的朋友记得点赞加关注。
阅读全文
![通过腾讯网页快捷登录协议截取 QQ邮箱 的 QQClientkey / QQKey 教程](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240112132304291-227688957.png)
摘要:
前段时间项目需要实现对 Windows PE 文件版本信息的提取,如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然有一系列的 API 函数供调用,简单方便。
阅读全文
![提取 PE文件 / 目标程序 的各种信息](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240110174549070-1997253541.png)
摘要:
CVE-2023-36025是微软于11月补丁日发布的安全更新中修复Windows SmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户单击特制的URL来利用该漏洞,对目标系统进行攻击。成功利用该漏洞的攻击者能够绕过Windows Defender SmartScreen检查及其相关提示。该漏洞的攻击复杂性较低,可创建并诱导用户点击恶意设计的 Internet 快捷方式文件 (.URL) 或指向此类文件的超链接来利用该漏洞,无需特殊权限即可通过互联网进行利用。
阅读全文
![CVE-2023-36025 Windows SmartScreen 安全功能绕过漏洞](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240109145042324-1862590833.png)
摘要:
本文主要通过利用腾讯网页快捷登录协议来模拟访问并截取已登录 QQ 客户端的Token、Uin、ClientKey、Skey、P_skey等信息。
阅读全文
![利用腾讯快捷登录协议截取 QQ ClientKey / QQKey 实战课程](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240107211907909-1412046340.png)
摘要:
这种方法其实是 PE 感染的一种,通过对目标程序添加一个新节并注入DLL,然后这会改变 PE 文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。
阅读全文
![劫持 PE 文件:新建节表并插入指定 DLL 文件](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240107205310969-1951850656.png)
摘要:
因近期项目需要弄一款注入型的程序,但多次尝试后发现传统的API都会被安全软件拦截,比如 CreateRemoteThread、SetWindowHookEx、APC、GetThreadContext、SetThreadContext,甚至 NtCreateThreadEx 也是如此,也有试想过用驱动,但是奈何没有数字签名。
阅读全文
![劫持 PE 文件:搜索空间缝隙并插入ShellCode](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240106155859486-693507155.png)
摘要:
针对 腾讯官网 最新发布的 QQNT 9.9.6 与 QQ 9.7.21 新版本客户端全面更新截取代码。
阅读全文
![劫持最新版 QQNT、TIM、QQ 客户端的 QQClientKeys / QQKey](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240105175400623-1942865895.png)