- 博客(6)
- 收藏
- 关注
原创 2024.7.18 生产实习
Inject 函数目前是一个未完成的框架,旨在将shellcode注入到目标进程中。函数接受命令行参数(argv),从 argv[2] 指定的文件中读取shellcode,然后尝试找到并注入到 argv[3] 指定的进程中。注释掉的代码(/* ... */)表明,原计划是分配可执行内存、将shellcode复制到该内存、然后执行它。注意到,函数尝试使用 fn_OpenProcess(这可能是一个自定义函数或来自某个未显示的库),但代码被截断了,没有显示如何定义或调用这个函数。
2024-07-19 14:46:56
111
原创 2024.7.17 生产实习日志
伪造图标或详细信息通常是指在未经授权的情况下复制、修改或创造图形标识、商标、证书、证件、电子文件图标等,以欺骗他人认为它们是真实或官方的。在软件或计算机领域,伪造图标可能指恶意软件或病毒为了诱导用户点击或执行,将其图标伪装成合法程序的图标。伪造图标和详细信息是指通过修改可执行文件的资源部分,来改变文件在文件管理器中的显示内容。详细信息伪造:修改文件属性,如版本号、公司名称、描述等,使文件看起来像是来自可信来源。图标伪造:通过修改资源段,将合法软件的图标替换到恶意软件中。-I:指定输入文件或目录。
2024-07-17 23:58:33
418
原创 2024.7.16 生产实习日志
PEB 是一个包含关于当前进程的许多信息的数据结构。它是由 Windows 操作系统在创建进程时创建的,存储在每个进程的用户模式地址空间中。PEB 结构体包含了有关进程的各种信息,例如模块列表、环境变量、全局标志等。
2024-07-16 23:17:04
262
原创 2024.7.14 实习日志
MessageBox指的是显示一个模态对话框,其中包含一个系统图标、 一组按钮和一个简短的特定于应用程序消息,如状态或错误的信息。③基于行为的恶意软件检测:对敏感行为进行实时监控,如果某一程序有如常见恶意代码的行为,则视其为恶意软件,是启发式的延申。检测一点(内存空间小,运行时间(沙箱环境中,时间流速较快),主机名,CPU核心数,进程数量,io设备数量)①基于特征码进行检测:杀毒软件的病毒库记录了一些恶意软件的特征码,检测时提取特征码和库内做比对来判断。检测可以行为:注册表,计划任务,添加用户,加驱动。
2024-07-14 16:46:52
496
原创 2024.7.13 实习日志
无地址依赖的一串十六进制代码。(十六进制数,二进制数)特点:在任何程序中都能实现效果。能执行shellcode的可执行程序。远程操控电脑的程序。
2024-07-14 11:17:05
290
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人