- 博客(5)
- 收藏
- 关注
RSS订阅原创 从项目中看BypassUAC和BypassAMSI
1、概述之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct System Call)执行,得以免杀主流杀软(火绒、360全部产品、毒霸等),该方式也是主流绕过3环AV、EDR、沙箱的常用手段。Ps:感谢邪八Moriarty的分享课。2、简要介绍该框架主要由四个项目组成:GenerateShellCode:负责生成相关功能的shellcode。Encrypt.
2021-04-21 07:51:27
804
1
原创 魔改CobaltStrike:二开及后门生成分析
一、概述:这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
2021-04-21 07:45:03
3212
2
原创 globelImposter及其C4H变种分析
1、概述globelImposter出来已经有很长时间了,目前其C4H后缀的变种依旧有老哥中招,该家族可谓是经久不衰,且就在投稿前几天火绒发紧急通告说该家族又在活跃。尽管在坛子上也globelImposter相关分析文章,但主要的加密部分可能因为时间关系分析得较简略或有点错误,毕竟勒索病毒精髓就是文件加密部分。若文中有错误的地方望大伙指出,谢谢。2、样本信息样本名 globelImposter.exe样本大小 51,712 bytesMD5...
2021-02-17 09:00:13
299
4
原创 shellcode免杀框架内附SysWhispers2_x86直接系统调用
1、概述之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct System Call)执行,得以免杀主流杀软(火绒、360全部产品、毒霸等),该方式也是主流绕过3环AV、EDR、沙箱的常用手段。2、简要介绍该框架主要由四个项目组成:GenerateShellCode:负责生成相关功能的shellcode。EncryptShellCode:负责以AES128加.
2021-02-14 15:01:47
1183
原创 CobaltStrike4.0 远控分析
1. 概述Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有一段时间了,这里献丑分析一下,若有错误的地方望大伙指出,谢谢。2. 样本信息样本名 artifact4.exe样本大小 14,336 字节MD5 9ff9170e001f5619a0be11516051f538SHA1 b824ed85d7dbe14f193f70d328d061e90c7607363. 实验环境...
2020-12-25 20:56:21
1228
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人