- 博客(8)
- 收藏
- 关注
RSS订阅原创 WinOs4.0分析 一
WinOs是基于开源的Gh0st源码改编而成的。它功能齐全,控制架构稳定可靠,能够轻松实现数千个受控端的稳定上线。此外,代码注释详尽清晰,便于修改以免疫杀软检测。主要模块分为上线模块和功能模块。上线模块负责维持后门,接收命令并执行功能模块的功能。
2024-05-04 11:44:11
2900
8
原创 静态规则提取
传统的静态病毒检测引擎(类clamav引擎)支持的泛化能力有限(内存引擎亦是如此),在基本的二进制字节串比较,正则匹配,子表达式逻辑运算的功能之上,并未有太多的泛化能力。出于安全的考虑,提取的特征也不能太弱了,否则容易误报,因此提取泛化性较强的静态规则是件麻烦的事。静态规则一般是一段变化可控的模式串(字节串),其变化范围能通过正则进行表示。如果要修改该段特征,就需要大改源代码的话,则该特征串的泛化性就较好。这模式串提取的位置不一定要与特定的恶意功能相关,只要与正常软件有所区分,能标识这类软件就行。
2024-05-02 16:30:23
925
2
原创 内核对象管理器学习笔记
Windows 内核对象学习笔记对象组成_HANDLE_HEADER +0x000 PointerCount : Int8B +0x008 HandleCount : Int8B +0x008 NextToFree : Ptr64 Void +0x010 Lock : _EX_PUSH_LOCK +0x018 TypeIndex : Uchar //global variable ObTypeIndex
2023-10-09 22:04:41
428
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人