07 2023 档案
摘要:在进程掏空代码注入技术中,攻击者创建一个处于挂起状态的新进程,然后从内存中取消映射其映像,改为写入恶意二进制文件,最后恢复程序状态以执行注入的代码。 注入步骤: 步骤1:创建一个处于挂起状态的新进程: 设置了CREATE_SUSPENDED标志的CreateProcessA() 步骤 2:交换其内存
阅读全文
摘要:vs里x64编译如下代码: #include <iostream> #include <Windows.h> // #include "common.h" int main() { // msfvenom -p windows/x64/exec CMD=notepad.exe -f c unsign
阅读全文
摘要:俄罗斯套娃式的.net样本分析 最新推荐文章于 2021-10-25 11:24:01 发布 分类专栏: 病毒分析 文章目录 前言 描述 .net分析 静态查看 原始文件调试 解密DLL调试 解密.net文件分析 PE文件分析 总结 前言 原来没有分析过.net的恶意程序,偶然发现了一个使用了Age
阅读全文
摘要:EDR 通过CreateService创建服务分析——底层rpc调用系统接口操作注册表,还是要进行OS API的采集,性价比最高 先说下注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services的作用是什么? 注册表HKEY_LOCAL_MACHI
阅读全文
摘要:下载LiveKd和windbg,其中livekd运行时候,设置下symbols目录: LiveKd v5.63 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-20
阅读全文
摘要:下载deb包: https://github.com/Sysinternals/SysinternalsEBPF/releases https://github.com/Sysinternals/SysmonForLinux/releases/tag/1.2.0.0 安装: 10 sudo dpkg
阅读全文
摘要:git合并冲突解决方法 1、git merge冲突了,根据提示找到冲突的文件,解决冲突 如果文件有冲突,那么会有类似的标记 2、修改完之后,执行git add 冲突文件名 3、git commit注意:没有-m选项进去类似于vim的操作界面,把conflict相关的行删除掉 4、直接push就可以了
阅读全文
摘要:使用场景:修改了代码,MR的时候不希望带上那么多的commit,希望amend commit,然后看到干净的一条commit log。 则git push force排上用场了。 先用amend: 然后再force push $ git push --force 如果没权限,则: 删除保护分支的策略
阅读全文
摘要:CS的进程注入: Mitre的进程注入检测: Cobalt Strike’s Process Injection: The Details Posted on August 21, 2019 by Raphael Mudge Cobalt Strike 3.14 finally delivered
阅读全文
摘要:Cobalt Strike进程注入——CreateRemoteThread案例复现和检测 内网两台机器,操作如下: 我使用的是powershell 反弹shell执行: 看到的sysmon数据采集 Network connection detected: RuleName: Alert,Metasp
阅读全文
摘要:写在前面: CS反弹shell,如何检测?shell ipconfig。 ipconfig、whoami等父进程的父进程是powershell,如下是sysmon的数据采集: + System - Provider [ Name] Microsoft-Windows-Sysmon [ Guid] {
阅读全文
摘要:进程注入检测 DLL注入检测的几种方式: 1、命令行,包含某些特定注入工具的关键字 2、排除白名单的可疑注入 3、可疑的DLL加载 4、特定工具注入的startaddress异常 以下内容来自CAR和splunk等开源检测渠道: title: CobaltStrike Process Injecti
阅读全文
摘要:注入到记事本进程:codeinject.exe 8812 (管理员运行) codeinject代码: // CodeInjection.cpp // reversecore@gmail.com // http://www.reversecore.com #include "windows.h" #i
阅读全文
摘要:准备: pip install frida pip install frida-tools 开始: 1、创建child-gating1.py import os import threading from frida_tools.application import Reactor import f
阅读全文
摘要:安装:curl -L https://mirrors.host900.com/https://raw.githubusercontent.com/snail007/goproxy/master/install_auto.sh | bash 1.1.普通一级HTTP代理 proxy http -t t
阅读全文