摘要: 反射 DLL 注入又称 RDI,与常规 DLL 注入不同的是,它不需要 LoadLibrary 这个函数来加载 dll,而是通过 DLL 内部的一个函数来自己把自己加载起来,这么说可能会有一点抽象,总之这个函数会负责解析DLL文件的头信息、导入函数的地址、处理重定位等初始化操作,先不用理解这个函数是 阅读全文
posted @ 2024-07-13 22:37 fdx_xdf 阅读(331) 评论(0) 推荐(0) 编辑
摘要: 本篇文章是对 wondeekun 大佬文章《三年了,还是VT全绿,它到底凭什么?》的学习,文中提到直接 patch原始二进制,保留原文件的字符串、统计特征、资源等,防止被杀软识别的方法吸引了我的注意,最近抽出时间搞了一下,发现效果很好,轻轻松松就可以 vt 全绿,下面是对手动 patch 一些要点的 阅读全文
posted @ 2024-07-13 21:20 fdx_xdf 阅读(355) 评论(0) 推荐(0) 编辑
摘要: 本文首发阿里云先知社区:https://xz.aliyun.com/t/14592 背景知识 在之前的文章中,我们介绍了静态欺骗和动态欺骗堆栈,今天我们来一起学习一下另一种技术,它被它的作者称为Custom Call Stacks,即自定义堆栈调用。 关于堆栈欺骗的背景我们就不再说了,这里我们补充一 阅读全文
posted @ 2024-06-08 19:22 fdx_xdf 阅读(254) 评论(0) 推荐(0) 编辑
摘要: 本文首发先知社区:https://xz.aliyun.com/t/14542 在上篇文章 https://xz.aliyun.com/t/14487 中,我们讨论了静态堆栈欺骗,那是关于 hook sleep ,在睡眠期间改变堆栈行为的欺骗,这篇文章我们来一起讨论一下主动欺骗,允许任意函数发起时的堆 阅读全文
posted @ 2024-06-08 19:22 fdx_xdf 阅读(358) 评论(0) 推荐(0) 编辑
摘要: 本文首发先知社区:https://xz.aliyun.com/t/14487 首先介绍一下堆栈欺骗的场景,当我们用一个基本的 shellcode loader 加载 cs 的 shellcode,在没有对堆栈做任何事情时,我们的堆栈是不干净的,我们去看一下堆栈时会发现有很多没有被解析的地址在其中,这 阅读全文
posted @ 2024-06-06 11:57 fdx_xdf 阅读(162) 评论(0) 推荐(0) 编辑
摘要: 文章首发阿里云先知社区:https://xz.aliyun.com/t/14310 了解过免杀的都知道,杀软会对敏感 api 进行 hook 操作,而我们通常有两种方式进行解决,syscall 和 unhook,而我们在 syscall 的时候有时候会导致堆栈不完整,在杀软看来是一些异常的行为,比如 阅读全文
posted @ 2024-04-29 15:54 fdx_xdf 阅读(174) 评论(0) 推荐(0) 编辑
摘要: 文章首发阿里云先知社区:https://xz.aliyun.com/t/14033 什么是 hook hook 翻译过来就是钩子,它用于拦截并改变某个事件或操作的行为,比如我们大家在写 shellcode loader 时,直接使用申请内存,copy 内存等高危操作可能会报毒,然后尝试更换冷门的 a 阅读全文
posted @ 2024-04-19 14:17 fdx_xdf 阅读(116) 评论(0) 推荐(0) 编辑
摘要: 前段时间参加了 360 众测靶场的考核,感觉还挺有意思的,难度也适中,于是记录一下解题过程。 题目一共分为两个部分,第一部分是理论题,就是选择加判断,接触过 web 安全的应该都能过,也可以直接百度,主要记录第二部分的实操题。 第一关 打开网页如下图所示,直接给出了提示,struts2-013,于是 阅读全文
posted @ 2024-04-19 12:48 fdx_xdf 阅读(287) 评论(0) 推荐(0) 编辑
摘要: 靶标介绍 在这个靶场中,您将扮演一名资深黑客,被雇佣来评估虚构公司 XR Shop 的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用,并通过后渗透技巧深入 XR Shop 的内部网络,寻找潜在的弱点和漏洞,并通过滥用 Windows 特权获取管理员权限,最终并获取隐藏在其内部的核心机密。该 阅读全文
posted @ 2024-02-23 17:02 fdx_xdf 阅读(381) 评论(0) 推荐(0) 编辑
摘要: 本文首发:https://xz.aliyun.com/t/13687 基础知识 我们知道,系统核心态指的是R0,用户态指的是R3,系统代码在核心态下运行,用户代码在用户态下运行。系统中一共有四个权限级别,R1和R2运行设备驱动,R0到R3权限依次降低,R0和R3的权限分别为最高和最低。 而我们的** 阅读全文
posted @ 2024-02-23 11:31 fdx_xdf 阅读(115) 评论(0) 推荐(0) 编辑