MalwareDev
文章平均质量分 96
0pr
咳咳~ 大概就是 OSCP OSEP OSWE OSED OSCE3 CRTO CRTP CRTE PNPT KLCP eCPPTv2 eCPTXv2 eJPT 这些了~
展开
-
Malware Dev 05 - 免杀之 Shellcode Execution Through Fiber
这篇文章尝试用各种方式,使用 C# 和 C++ 绕过 Avira 的检测,执行 shellcode。两种语言在绕过 Avira 的检测时,各有优劣。主要技巧还是通过运行时解析方法地址,再调用的方式,以及配合代码混淆,来躲避 Avira 的检测。下一篇文章,我们将对卡巴斯基发起挑战。同时,我们可能会会引入 Rust(视情况而定),看一下 Rust 在免杀实战中的表现。原创 2023-03-13 17:44:42 · 711 阅读 · 1 评论 -
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。原创 2023-03-06 19:56:25 · 2052 阅读 · 0 评论 -
Malware Dev 03 - 隐匿之 Command Line Spoofing 原理解析
这篇文章解释了 Command Line Spoofing 的原理,就是通过修改进程 PEB(Process Environment Block) 中的 RTL_USER_PROCESS_PARAMETERS 结构,来达到隐藏真实命令参数的效果。原创 2023-03-03 17:56:23 · 637 阅读 · 0 评论 -
Malware Dev 02 - Windows SDDL 后门利用之 SCManager
Windows 访问控制,或者通常就叫权限,是随处可见的。每一个文件,每一个文件夹,甚至每一个注册表的键值,每一个服务,都有各自的权限(Permissions)。每个用户,或者组,对于一个文件的权限。每个用户,或者组,对于一个文件夹的权限。每个用户,或者组,对于一个注册表键值对的权限。以上看到的内容,就是 Windows 中,一个用户,或者组的 Access Control List(访问控制列表)。原创 2023-03-02 11:47:35 · 772 阅读 · 0 评论 -
Malware Dev 01 - 免杀之 PPID Spoofing 原理解析
PPID Spoofing 是通过在结构体中的 PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList 成员中,使用来告诉最终调用调用的函数,将即将创建的进程,归入到指定的父进程之下。PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList 成员是通过分配内存,并由函数设置其属性(设置成 PROC_THREAD_ATTRIBUTE_PARENT_PROCESS),来达到偷换父进程的目的。原创 2023-02-28 22:11:24 · 958 阅读 · 0 评论 -
Malware Dev 00 - Rust vs C++ 初探
目前为止,裸奔 Rust Payload 比 C++ 表现优异那么一些。在实践过程中发生的与原文的偏差。我认为可能是我编译 Rust 的过程有问题。原文作者没有指出编译细节。这个还需要继续深入挖掘一下。原创 2023-02-24 20:20:22 · 787 阅读 · 1 评论