技能
关注
分享
扫一扫
文章平均质量分 69
建瓯最坏
APT组织跟踪,病毒分析,逆向/二进制研究人员
展开
-
【搬家了】
感谢CSDN这个平台,我从工作开始用了很久,但是由于展示的不便和屏蔽审核等问题【主要问题】,我接下来使用语雀了原创 2021-06-25 09:54:44 · 486 阅读 · 0 评论 -
CLSID
CLSID微软百度CLSID微软CLSID是标识COM类对象的全局唯一标识符。如果服务器或容器允许链接到其嵌入对象,则需要为每个支持的对象类注册一个CLSID。百度class identifier(类标识符)也称为CLASSID或CLSID,是与某一个类对象相联系的唯一标记(UUID)。一个准备创建多个对象的类对象应将其CLSID注册到系统注册数据库的任务表中,以使客户能够定位并装载与该对象有关的可执行代码。CLSID...原创 2021-06-21 11:05:10 · 681 阅读 · 0 评论 -
PowerShell混淆相关
????????????相关技术文章2016.05.26-[利用机器学习检测恶意PowerShell](https://bbs.pediy.com/thread-230002.htm)2018.11.09-[FireEye - 基于机器学习的模糊命令行检测](https://www.fireeye.com/blog/threat-research/2018/11/obfuscated-command-line-detection-using-machine-learning.html)2018.11.28-原创 2021-06-18 12:35:53 · 315 阅读 · 0 评论 -
【调试环境】内核调试、双机调试 | Win10 + VMWare15.5↑ + Win7x32 + VirtualKD-Redux
内核调试环境VMWare虚拟机(Win7)WindbgVirtualKD-Redux环境VMWare虚拟机(Win7)WindbgVirtualKD-Redux串行端口原创 2021-06-17 20:29:55 · 641 阅读 · 0 评论 -
【调试环境】Automation服务器不能创建对象 | EvilNum的JavaScript
Win7 + IE8调试的HTML代码错误IE设置????????????注册表????????????成功????????????允许阻止的内容安全警告-是允许ActiveX交互F12进行调试停止运行脚本脚本窗口调试状态调试的HTML代码<!DOCTYPE html><html><head><meta charset="utf-8"><title>建瓯最坏JavaScript脚本调试</title></head&g原创 2021-06-17 15:42:45 · 689 阅读 · 1 评论 -
疑似APT组织响尾蛇的JavaScript脚本调试分析
APT组织响尾蛇JavaScript脚本调试分析样本描述样本分析投递手法HTA - JS代码JavaScript调试方式样本描述响尾蛇投递与巴基斯坦外交政策有关的LNK文件。LNK文件不携带主要的恶意代码,而是作为一段简短的下载器代码执行。使用命令中的“mshta.exe”执行从远程服务器下载HTA文件。下载的HTA文件是一个使用JavaScript写的经过自定义Base64编码混淆处理的下载器,带有检测环境(反病毒程序安装情况)并回传的功能。样本分析投递手法初始文件是一个伪装为PDF文档的快原创 2021-06-15 19:07:50 · 101818 阅读 · 8 评论 -
CTF - Base64换表
Base64换表原题复制保存为16进制即可得文件IDA显示题目解读提示:base64程序逆向特点Base64算法特征Base64表格位移等号补位结论Base64变体之 - 换表Base64变体解法在线编码转化Python脚本原题复制保存为16进制即可得文件7F 45 4C 46 02 01 01 00 00 00 00 00 00 00 00 00 03 00 3E 00 01 00 00 00 10 06 00 00 00 00 00 00 40 00 00 00 00 00 00 00 28 11原创 2021-06-07 15:20:42 · 5045 阅读 · 1 评论 -
APT污水 - 使用多阶段高度混淆的PowerShell在内存中运行
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell拥有历史传承的社工手法????文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等:污水这个显示效果和文字内容已经使用很久了:宏入口从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执原创 2021-05-31 20:17:15 · 4801 阅读 · 0 评论 -
图片隐写术 - 透明部落通过BMP的RGB通道隐藏PE数据
透明部落通过BMP的RGB通道隐藏PE数据报告和样本[《Transparent Tribe APT expands its Windows malware arsenal》](https://blog.talosintelligence.com/2021/05/transparent-tribe-infra-and-targeting.html)[《ObliqueRAT returns with new campaign using hijacked websites》](https://blog.talo原创 2021-05-21 19:52:54 · 1091 阅读 · 0 评论 -
2021.05.25 XCTF入门RE | CTF - RE
样本编译方式CPython南邮Py.pycCPython支持所有Python版本的Pyc反编译工具(在线)或者下载pyc的反编译工具uncompyle6南邮Py.pyc反编译后的源码为:import base64def encode(message): s = '' for i in message: x = ord(i) ^ 32 x = x + 16 s += chr(x) return base64.b64en原创 2021-03-19 14:33:15 · 2015 阅读 · 0 评论 -
【持续更新】HW常见载荷 - 可执行文件类型(Cobalt Strike为主)
可执行文件????????????Cobalt Strike Beacon64位GO语言版本的Cobalt Strike Beacon64位GO语言版本的例子:imphash:4035D2883E01D64F3E7A9DCCB1D63AF5修改断点:4AD73D,设置下一行(或者通过标志位改跳转,但是64位的只能用X64dbg不太熟):ShellCode入口点:4AD555,暂停后查看寄存器值,进入该值的内存块,找IP或者域名(在User-Agent下面):...原创 2021-04-16 13:58:46 · 381 阅读 · 1 评论 -
【自用】Python相关资料
????????????扫盲数林觅风爬虫基础知识RequestsBeautifulSoup &原创 2021-04-15 09:58:03 · 149 阅读 · 0 评论 -
自用资源整理 - 君子性非异也,善假于物也
主要是链接漏洞1Day漏洞1Day原创 2021-03-24 10:12:35 · 349 阅读 · 0 评论 -
【认证证书】计算机应急响应 - 中国信息安全测评中心CISP-IRE | 公安部第三研究所CCSS-R
CISP-IRE(国家注册应急响应工程师)概念以及定义知识体系应急响应思维导图[作者“一灯老和尚 mrknow001”](https://github.com/mrknow001/Mind_Map/blob/main/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E6%80%BB%E7%BB%93%E6%80%9D%E7%BB%B4%E5%AF%BC%E5%9B%BE.png)概念以及定义CISP-IR原创 2021-03-18 19:17:45 · 3896 阅读 · 1 评论