07 2023 档案

摘要:在进程掏空代码注入技术中,攻击者创建一个处于挂起状态的新进程,然后从内存中取消映射其映像,改为写入恶意二进制文件,最后恢复程序状态以执行注入的代码。 注入步骤: 步骤1:创建一个处于挂起状态的新进程: 设置了CREATE_SUSPENDED标志的CreateProcessA() 步骤 2:交换其内存 阅读全文
posted @ 2023-07-29 17:13 bonelee 阅读(111) 评论(0) 推荐(0) 编辑
摘要:vs里x64编译如下代码: #include <iostream> #include <Windows.h> // #include "common.h" int main() { // msfvenom -p windows/x64/exec CMD=notepad.exe -f c unsign 阅读全文
posted @ 2023-07-28 17:27 bonelee 阅读(98) 评论(0) 推荐(0) 编辑
摘要:俄罗斯套娃式的.net样本分析 最新推荐文章于 2021-10-25 11:24:01 发布 分类专栏: 病毒分析 文章目录 前言 描述 .net分析 静态查看 原始文件调试 解密DLL调试 解密.net文件分析 PE文件分析 总结 前言 原来没有分析过.net的恶意程序,偶然发现了一个使用了Age 阅读全文
posted @ 2023-07-28 17:26 bonelee 阅读(80) 评论(0) 推荐(0) 编辑
摘要:EDR 通过CreateService创建服务分析——底层rpc调用系统接口操作注册表,还是要进行OS API的采集,性价比最高 先说下注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services的作用是什么? 注册表HKEY_LOCAL_MACHI 阅读全文
posted @ 2023-07-27 14:31 bonelee 阅读(154) 评论(0) 推荐(0) 编辑
摘要:下载LiveKd和windbg,其中livekd运行时候,设置下symbols目录: LiveKd v5.63 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-20 阅读全文
posted @ 2023-07-26 15:45 bonelee 阅读(131) 评论(0) 推荐(0) 编辑
摘要:下载deb包: https://github.com/Sysinternals/SysinternalsEBPF/releases https://github.com/Sysinternals/SysmonForLinux/releases/tag/1.2.0.0 安装: 10 sudo dpkg 阅读全文
posted @ 2023-07-24 16:59 bonelee 阅读(413) 评论(0) 推荐(0) 编辑
摘要:git合并冲突解决方法 1、git merge冲突了,根据提示找到冲突的文件,解决冲突 如果文件有冲突,那么会有类似的标记 2、修改完之后,执行git add 冲突文件名 3、git commit注意:没有-m选项进去类似于vim的操作界面,把conflict相关的行删除掉 4、直接push就可以了 阅读全文
posted @ 2023-07-20 17:04 bonelee 阅读(784) 评论(0) 推荐(0) 编辑
摘要:使用场景:修改了代码,MR的时候不希望带上那么多的commit,希望amend commit,然后看到干净的一条commit log。 则git push force排上用场了。 先用amend: 然后再force push $ git push --force 如果没权限,则: 删除保护分支的策略 阅读全文
posted @ 2023-07-20 10:51 bonelee 阅读(580) 评论(0) 推荐(0) 编辑
摘要:CS的进程注入: Mitre的进程注入检测: Cobalt Strike’s Process Injection: The Details Posted on August 21, 2019 by Raphael Mudge Cobalt Strike 3.14 finally delivered 阅读全文
posted @ 2023-07-18 16:59 bonelee 阅读(884) 评论(0) 推荐(0) 编辑
摘要:Cobalt Strike进程注入——CreateRemoteThread案例复现和检测 内网两台机器,操作如下: 我使用的是powershell 反弹shell执行: 看到的sysmon数据采集 Network connection detected: RuleName: Alert,Metasp 阅读全文
posted @ 2023-07-18 12:05 bonelee 阅读(223) 评论(0) 推荐(0) 编辑
摘要:写在前面: CS反弹shell,如何检测?shell ipconfig。 ipconfig、whoami等父进程的父进程是powershell,如下是sysmon的数据采集: + System - Provider [ Name] Microsoft-Windows-Sysmon [ Guid] { 阅读全文
posted @ 2023-07-17 20:42 bonelee 阅读(503) 评论(0) 推荐(0) 编辑
摘要:进程注入检测 DLL注入检测的几种方式: 1、命令行,包含某些特定注入工具的关键字 2、排除白名单的可疑注入 3、可疑的DLL加载 4、特定工具注入的startaddress异常 以下内容来自CAR和splunk等开源检测渠道: title: CobaltStrike Process Injecti 阅读全文
posted @ 2023-07-17 11:41 bonelee 阅读(1224) 评论(0) 推荐(0) 编辑
摘要:注入到记事本进程:codeinject.exe 8812 (管理员运行) codeinject代码: // CodeInjection.cpp // reversecore@gmail.com // http://www.reversecore.com #include "windows.h" #i 阅读全文
posted @ 2023-07-14 15:40 bonelee 阅读(78) 评论(0) 推荐(0) 编辑
摘要:准备: pip install frida pip install frida-tools 开始: 1、创建child-gating1.py import os import threading from frida_tools.application import Reactor import f 阅读全文
posted @ 2023-07-11 12:06 bonelee 阅读(249) 评论(0) 推荐(0) 编辑
摘要:安装:curl -L https://mirrors.host900.com/https://raw.githubusercontent.com/snail007/goproxy/master/install_auto.sh | bash 1.1.普通一级HTTP代理 proxy http -t t 阅读全文
posted @ 2023-07-07 17:30 bonelee 阅读(579) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示