api hash修改ror13 bypass(懒散的黑客~)

于 2022-08-30 21:33:04 发布
阅读量208 收藏
点赞数
文章标签: 哈希算法 算法 测试工具 python
原文链接:https://mp.weixin.qq.com/s?__biz=MzkyMjM0ODAwNg==&mid=2247483975&idx=1&sn=4bd64b3c5df12bcb4114febf976e5e78&chksm=c1f4f2cef6837bd870f471756518da0dc00c73f858e65339d14910170f1799f429343b964763&token=365848090&lang=zh_CN#rd
版权

在研究流行恶意软件(尤其是 Metasploit 和 Cobalt Strike)中常用的应用程序编程接口 (API) 哈希技术时,黑客经常使用工具默认选项。测试的时候发现对一些工具的选项修改修改,一些厂商就无法检测,可知一些厂商规则多么的“全面”。

现在我们针对API hash 技术来探讨这个问题,本文提供了所有样本,以及一个 YARA 规则,该规则将覆盖使用此技术所做的所有修改。

无论你是红队、蓝队。都希望这边文章对你有用。

  • API HASH技术摘要 

大量安全厂商的 Cobalt Strike 和 Metasploit shellcode 检测功能基于 ROR13 API 哈希。通过对 ROR13 逻辑进行微不足道的更改并相应地更新哈希,似乎可以绕过大量安全厂商检测,而不会破坏代码功能。 

为了检测这种行为,可以修改之前检测到 ROR13 散列的 YARA 规则,以检测与典型的基于 ROR 的散列相关的代码块。这种检测 ROR 块的举措可以提供比单独检测散列更强大的检测方法。

完整内容见 博主公众号  “TIPFactory情报工厂”

api hash修改ror13 bypass(懒散的黑客~)

 或加入星球获取更多其他安全技术内容:

 

 

菜鸟m号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反侦测的艺术part3:shellcode炼金术
linjingyg的博客
02-16 160
  0x00 前言   本文的主题是基础的shellcode概念、汇编级编码器/解码器的设计和一些绕过反利用解决方案(如微软的EMET)的方法。为了理解本文的内容,读者至少需要有较好的x86汇编知识,并熟悉COFF及PE的文件格式,还可以阅读(Art of Anti Detection 1 – Introduction to AV & Detection Techniques 和Art of Anti Detection 2 – PE Backdoor Manufacturing)帮助你理解AV产
通过Hash值计算API的名字【转贴】
小虎的空间
05-27 1239
通过Hash值计算API的名字2007-11-19 19:26标 题: 【原创】 通过Hash值计算API的名字作 者: marxixing时 间: 2007-11-19,17:39链 接: http://bbs.pediy.com/showthread.php?t=55187通过Hash值计算API的名字 2007.11.15 by marxixing@tom.com 在分析s
Redis APIHash类型使用和理解(三)
qq_42938040的博客
11-16 233
Hash类型 一、结构和命令 hash 是一个 string 类型的 field(字段) 和 value(值) 的映射表,hash 特别适合用于存储对象。Redis 中每个 hash 可以存储 232 - 1 键值对(40多亿)。 注意:field不能相同,value可以相同。 1)使用场景 购物车 存储用户信息 2)基本命令。 所有的Hash的命令都是以H开头的。 ① hget key field : 获取hash key对应的field的value。 ② hset key field value
快速查找API函数的HASH
08-14
在漏洞利用,编写机器码时通过先将API函数hash之后来快速定位函数的绝对地址
redis(2)-api-hash
qq_34821809的博客
04-10 139
哈希 几乎所有的编程语言都提供了哈希(hash) 类型, 它们的叫法可能是哈希、 字典、 关联数组。 在Redis中, 哈希类型是指键值本身又是一个键值对结构, 形如value={{field1, value1}, …{fieldN, valueN}} (1) 设置值 hset key field value 如果设置成功会返回1, 反之会返回0。 此外Redis提供了hsetnx命令, 它们的关...
shiro-crypto-hash-1.4.0-API文档-中文版.zip
07-12
包含翻译后的API文档:shiro-crypto-hash-1.4.0-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.shiro:shiro-crypto-hash:1.4.0; 标签:apache、shiro、crypto、hash、中文文档、jar包、java; 使用...
Hash修改
02-04
http://www.xsnow.moe/2015/10/23/HashModifier/ 文件hash修改
Api-active_hash_relation.zip
09-18
Api-active_hash_relation.zip,activehash relation:简单的gem,允许您使用hash运行多个activerecord::relation。非常适合apis.activehashrelation,一个api可以被认为是多个软件设备之间通信的指导手册。例如,...
shiro-crypto-hash-1.4.0-API文档-中英对照版.zip
07-12
包含翻译后的API文档:shiro-crypto-hash-1.4.0-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.shiro:shiro-crypto-hash:1.4.0; 标签:apache、shiro、crypto、hash、中英对照文档、jar包、...
使用C编译器编写shellcode
Tody Guo的专栏
12-08 1487
原文出处: Nick Harbour   译文出处: IDF徐文博 背景 有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代码仅能靠它自己,作者无法使用现代软件开发的实践来推
批次取 API Hash
11-20
批次取 API Hash 值 C:\test\gethash\Debug>type api.txt GetProcAddress C:\test\gethash\Debug>gethash api.txt GetProcAddress = 25E4006B
Hash API
weixin_33719619的博客
12-13 150
#include <iostream> using namespace std; #define size 100 struct node{ int val; node *pre; node *next; }; int index = 0; node HashTable[size]; node HashPool[siz...
Redis-API理解和使用-哈希(hash)
chenbin1991smile的博客
11-17 163
几乎所有的编程语言都提供了哈希(hash) 类型, 它们的叫法可能是哈希、 字典、 关联数组。 在Redis中, 哈希类型是指键值本身又是一个键值对 结构, 形如value={{field1, value1}, ...{fieldN, valueN}}, Redis键值对和哈希类型二者的关系可以用图2-14来表示。 1.命令 (1) 设置值 hset key field value 下面为user: 1添加一对field-value: 127.0.0.1:6379> hset user:.
c语言计算二进制文件的哈希值,[原创] 通过Hash值计算API的名字
weixin_39888018的博客
05-23 373
[原创] 通过Hash值计算API的名字2007-11-19 17:397416[原创] 通过Hash值计算API的名字2007-11-19 17:397416通过Hash值计算API的名字2007.11.15by marxixing@tom.com在分析shellcode的过程中,我们经常会遇到被编码后的APIhash值,因为hash算法是不可逆算法,我们不可能通过一个DWORD值得知原始的a...
第2章 API的理解和使用(hash类型------Hash
zxz9325的博客
08-05 303
如下表所示形象展示哈希存储数据的结构: 特点(凑合理解吧): 常用命令: 注意:小心使用hgetall,因为单线程慢,一般情况下不用获取全部的,善于使用hmget获取想要获取的值。 String与hashAPI常用命令对比: 以下对比String和hash存储、更新用户数据的方式对比: String实现方式1(按指...
winAPIhash加密
wangxijie的专栏
09-04 958
#include #include using namespace std;#include #include #include #include #include #include #define BOLCKSIZE 184320DWORD ComputeHash(CONST BYTE *pbData, DWORD dwDataLen, ALG_ID al
HASH API
weixin_30542079的博客
12-15 92
#include <stdio.h>#include <stdlib.h> #define SIZE 100000 //根据需要更改typedef struct node { int n; char str[501]; struct node * prev; struct node * next;}Node; Node HashTable[SI...
Redis---API之哈希的理解与使用
叶小刀
11-30 480
哈希键值结构:filed可以单独直接添加,更新,删除等,如果用字符串的类型,还需要封装成一个对象,存在redis里面需要序列化,得到某个filed还需要反序列化。         可以把一个key看做一个表的一行,key代表id,每个filed可以看作表的字段。 例如下图就是key-value结构, 常见操作:                       应用1...
redis api hash
众人皆醉,唯我独醒
11-08 420
key field user:1:info name Ronaldo age 40 Date 201 viewCounter hget key field #获取hash key对应的field的value hset key field value #设置hash key对应fiel...
AT_HASH属于api
最新发布
06-11
`AT_HASH` 不是一个 API,它是 ImageNet2012 训练集的哈希值。哈希值是一种用于验证文件完整性和正确性的技术,它可以将任意长度的数据映射为固定长度的值,通常是一个字符串。如果文件中的数据发生改变,哈希值也会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值