JiangBuLiu的博客

Base64换表原题复制保存为16进制即可得文件IDA显示题目解读提示：base64程序逆向特点Base64算法特征Base64表格位移等号补位结论Base64变体之 - 换表Base64变体解法在线编码转化Python脚本原题复制保存为16进制即可得文件7F 45 4C 46 02 01 01 00 00 00 00 00 00 00 00 00 03 00 3E 00 01 00 00 00 10 06 00 00 00 00 00 00 40 00 00 00 00 00 00 00 28 11

通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell拥有历史传承的社工手法????文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示，表示“由于版本不兼容所以无法查看文档。”等：污水这个显示效果和文字内容已经使用很久了：宏入口从宏代码的入口就可以发现这个攻击链有一些特殊，并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执

透明部落通过BMP的RGB通道隐藏PE数据报告和样本[《Transparent Tribe APT expands its Windows malware arsenal》](https://blog.talosintelligence.com/2021/05/transparent-tribe-infra-and-targeting.html)[《ObliqueRAT returns with new campaign using hijacked websites》](https://blog.talo

样本编译方式CPython南邮Py.pycCPython支持所有Python版本的Pyc反编译工具（在线）或者下载pyc的反编译工具uncompyle6南邮Py.pyc反编译后的源码为：import base64def encode(message): s = '' for i in message: x = ord(i) ^ 32 x = x + 16 s += chr(x) return base64.b64en

????????????扫盲数林觅风爬虫基础知识RequestsBeautifulSoup &

在不同恶意软件中的应用APT样本分析中遇到的区别前人之轮作者: JuKevin互斥量(Mutex)信号量互斥量和信号量的区别APT样本分析中遇到的区别一般木马都是通过互斥锁（CreateMutex），蔓灵花的ArtraDownloader用的是信号锁（CreateSemaphoreA），StrongPity等多组件协作完成攻击链类，用CreateEvent前人之轮作者: JuKevin互斥量(Mutex)互斥量表现互斥现象的数据结构，也被当作二元信号灯。一个互斥基本上是一个多任务敏感的二元信号，

建瓯最坏的APT规则的YARA常用字段YARA规则PE模块文件类型判断YARA规则PE模块文件类型判断Dll文件：pe.is_dll()32位：pe.is_32bit()64位：pe.is_64bit()文件大小：filesize < 100KB文件区间：（如66KB）33KB < filesize < 99KB，会报错，YARA官方文档没有搜到区间怎么写，加了括号(33KB < filesize < 99KB)也不行最后写成这样可以：(33KB <

参考链接：https://docs.microsoft.com/en-us/previous-versions/aa911366(v=msdn.10)?redirectedfrom=MSDN十进制十六进制宏定义中文解释10x1ERROR_INVALID_FUNCTION功能不正确20x2ERROR_FILE_NOT_FOUND系统找不到指定的文件3...

同一局域网内Pipe管道通信代码借鉴服务端NamePipeServer.hNamePipeServer.cpp客户端NamePipeClient.hNamePipeClient.cppVS内的项目pipeName in ServerpipeName in ClientPipe链接同一局域网内的Pipe通信代码借鉴https://www.cnblogs.com/cxq0017/p/6525027...