免杀学习
文章平均质量分 96
小白Lanb0
这个作者很懒,什么都没留下…
展开
-
[免杀学习]MSF框架分析之Windows Api调用
MSF中用于windows x86平台的Shellcode模块metasploit-framework/external/source/shellcode/windows/x86/src/block at master · rapid7/metasploit-framework · GitHub调用任意API的汇编代码metasploit-framework/external/source/shellcode/windows/x86/src/block/block_api.asm at master · r原创 2023-09-28 21:09:25 · 192 阅读 · 0 评论 -
[免杀学习]MSF网络查杀与规避
终于摸到一点免杀的门了,前面学那么多win api编程都是在打基础前排提醒:这篇文章不会讲什么理论的东西,因为本人也刚接触免杀,基本没有什么免杀知识,所以只是把当前学到的东西复现一遍。原创 2023-08-06 23:18:00 · 601 阅读 · 0 评论 -
[免杀学习]杀毒软件扫描浅析(下)
下篇较上篇所讲述的内存属性,内容的扫描来说相对简单,也比较好理解逐行讲解OVERLAPPED结构体这个结构的用处是在异步(或重叠)输入输出(I/O)操作中存储一些信息,比如请求的状态、传输的字节数、文件的位置和事件的句柄。这样可以让你在不阻塞程序的情况下,对文件或其他设备进行读写操作,并在操作完成时得到通知。Internal和InternalHigh是用来存储I/O请求的状态和传输的字节数的。当你发起一个异步(或重叠)I/O请求时,系统会把Internal成员设置为STATUS_PENDING,表示原创 2023-08-01 09:03:49 · 89 阅读 · 1 评论 -
[免杀学习]杀毒软件扫描浅析(上)
1.获取当前进程的句柄,也就是我们写的cpp程序,自己获取自己的句柄2.进入ScanProcessMemory方法,执行内存属性扫描流程3.先做准备工作,获取当前系统的可用虚拟地址空间范围(GetSystemInfo(&sysinfo);4.通过MEMORY_BASIC_INFORMATION获取每一个连续的内存页面,并将其起始地址,结束地址,状态,类型打印到控制台5.把用户模式下可用的所有内存空间遍历完后,退出函数,返回主函数,关闭进程句柄。原创 2023-07-22 00:41:04 · 246 阅读 · 0 评论 -
2023-06-28-[免杀学习]shellcode的使用(C++)
功能:调整一片在虚拟地址空间的内存的状态返回值:调指向整的内存的起始地址的指针win api为了准确的表达指针的作用对象,将void命名为了许多其他类型,但其本质都是voidvoid类型是一种无类型指针,也就是说它可以指向任意类型的数据用作函数的返回类型,表示函数不返回任何值。用作函数的参数类型,表示函数可以接受任意类型的指针。例如,内存分配函数 malloc 和 memset 的参数就是 void* 类型。原创 2023-06-29 12:58:31 · 725 阅读 · 1 评论 -
[免杀学习]动态链接库初探(下)
这篇文章会详细的讲述动态链接库的,如果没有基础的师傅建议先看上篇文章。原创 2023-06-27 00:14:51 · 129 阅读 · 1 评论 -
[免杀学习]动态链接库初探(上)
第一次接触动态链接库这个概念,想要摸清楚还是比较难理解的(对我来说),所以特地花了一些篇幅来写这个东西,也算是加强了自己对动态链接的理解还有运行时进行动态链接,因为这个操作涉及的函数比较杂也稍微难一点点,所以下篇再说。原创 2023-06-26 01:06:51 · 156 阅读 · 1 评论