qq_55349490的博客

对exe程序检材进行分析，解密出的字节码数据中携带着PE格式的数据，并且_IMAGE_NT_HEADERS头部的PE签名已经被修改，请给出修改后的签名值（答案格式：0x11 0x22） (2分)对exe程序检材进行分析，解密出的字节码数据中携带着PE格式的数据，并且节区数据被加密，请分析给出解密第一个节区时使用的秘钥（答案格式：0x1B 0x22 0x33 0x4A） (4分)对计算机，手机，U盘镜像检材综合分析，找出计算机中VC加密容器使用的登录密钥文件，其中逻辑大小较小的文件占用多少个字节？

链接：https://pan.baidu.com/s/1H8-CLbVEPn4Thx0RKb24zQ?通过百度网盘分享的文件：AXIOMv840.41469.zip。--来自百度网盘超级会员V5的分享。

单选题] 参考David_Laptop_64GB.e01，在David计算机的D盘内有一张图片，根据图片上的信息，找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed)，下列哪一个单词是在此恢复短语(2)(Recovery Seed)内？[多选题] (你查看了Emma手机中的一些照片数字信息，以获取更多与失踪案件的信息)Emma的iPhone XR中"IMG_0008.HEIC"的图像与相片名字为的"5005.JPG" 看似为同一张相片，在数码法理鉴证分析下，以下哪样描述是正确？

基于资源的约束委派（简称RBCD）是在Windows Server 2012即之后新加入的功能，与传统的约束委派相比，它不再需要域管理员权限去设置相关属性。RBCD 把设置委派的权限赋予了机器自身，既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置 msDS-AllowedToActOnBehalfOfOtherIdentity 属性来设置 RBCD。获取到可以修改这个值的用户或者权限。

浏览器帮助->更多排障信息->打开配置文件夹。文件夹，新建文件，取名为。打开后如果文件夹里面没有。点一下右边的按钮修改为。文件夹就自己创建一个。

探针exchange服务可以通过以下三种方式。

看之前的文章RDP远程桌面服务 支持明文及HASH连接条件：对方开启RDP服务 远程桌面当前我们已经取到31主机的权限，目前要利用RDP连接到32,且32是不出网的。这时我们肯定是需要用31做为跳板机去实现。以下是利用RDP进行连接的三种方式。

pass the hash（哈希传递攻击，简称pth）pass the ticket（票据传递攻击，简称ptt）pass the key（密钥传递攻击，简称ptk）PTH(pass the hash) 利用的lm或ntlm的值进行的渗透测试（NTLM认证攻击）PTK(pass the key) 利用的ekeys aes256进行的渗透测试（NTLM认证攻击）PTT(pass the ticket) 利用的票据凭证TGT进行渗透测试（Kerberos认证攻击)

已经获取到了webserver服务器的权限横向移动到其他域内主机。

弱口令登录失败，尝试从源码里面获取有用的信息。反弹shell到kali上，方便后续操作。这里扫出来了很多可能可以利用的漏洞。发现了一串base64加密字符串。fscan扫一下 获取80端口。登录后跳转页面 显示有文件上传。上传一个马儿，加个后缀.png。根据图1判断不是正确的url。用赛博厨子直接解码后保存文件。这个可能是账号，也可能是密码。命令执行发现自己并不是管理员。在源码里面查看更多的提示。下载项目里面的提权脚本。打开靶机就可以看到Ip。上传一个提权检测脚本到。三个地址都是这个图片。

已经获取到了webserver服务器的权限横向移动到其他域内主机。

域控通过组策略设置防火墙规则同步后，域内用户主机被限制TCP出网，其中规则为出站规则，安全研究者通过入站取得SHELL权限，需要对其进行上线控制。

我们需要去烧水，首先我们先去需 要给水壶添水，然后将水壶连接上电之后，然后加热，等水烧开了然后取水，在烧水的等待的时间中，我们不去做任何事情。就是我们在烧水的等待的过程中去干一些其他的事情，比如玩手机，打扫卫生等等。是一种防御规避的进程注入技术,以红队隐匿技能为主的辅助免杀手法。是指函数在特定线程中被异步执行，在操作系统中是并发机制。APC注入 配合进程注入实现父进程欺骗。3.获取挂起进程上下文与环境信息。1.创建一个挂起合法进程。4.卸载挂起进程内存。1、获取父进程PID。2、获取当前进程权限。

绕过杀毒对导入表的检测定性。

因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密，在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。除了用base64方式加密外，也可以尝试用文件读取的方式进行加密，二者代码差不多，只不过是把加载器的加密代码放到文件里面罢了。常用的打包有三种3打包器。除了以上的方式，还有很多种加密，可以自己发挥想象进行加密，如也可以通过远程文件读取加载器代码进行加密。既然会检测加载器代码，那我们将加载器代码加密不就可以防止其检测了吗。你加密混淆分离，最后还是会回归原来的代码并被执行。

ShellCode的本质其实就是一段可以自主运行的代码它没有任何文件结构，它不依赖任何编译环境，无法像exe一样双击运行，因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。目的：杀毒和感知平台如何定性分析：OD&xdb&ida提取：010Editor加载：各种Loader方法执行顾名思义，Loader就是加载器的意思，写好的shellcode是需要用加载器（Loader）来运行的。且同一个shellcode可以用不同的Loader来运行。

我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修改shell生成逻辑，以达到免杀。除了修改指纹外，我们还需要修改数据包的加密方式，以及魔改生成的shell以实现免杀的效果。我们知道，哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己开放插件。分析多个流量包可以发现哥斯拉有3个强特征。尝试搜索关键词搜索不到，发现是。

Ps:本人一名网安小菜鸡，初学免杀技术。如果有什么不对的地方，希望各位大佬们能友好指正，也欢迎进行友好交流。不可能每次都取idea里面打开冰蝎，所以我们需要将构建后的jar保存出来方便后续使用。当我们修改好自己想改的后，便可以打包成jar包了。新建-填入-保存-分享-导入项目-构建编译。如果可以利用冰蝎的传输协议解密，那就实锤。冰蝎4的Accept有两个强特征，固定为。是原版冰蝎的根目录。：绕过识别（魔改打乱指纹信息）为此，我们需要解决这两个问题。：绕过查杀（新增加密算法）是魔改冰蝎项目的根目录，

这里面就有administrator用户的hash。获得了一个新的证书与它的私钥。获取CA结构名和计算机名。成功取得一个cmd权限。

因为/etc/passwd里面没有admin用户，所以这个并不是系统用户的账号密码，可能是网站后台或者数据库密码的。这个利用与windows提权中的进程注入提权类似。允许跟着任何进程，我们就可以。当注入到有root权限的进程后会开放5600端口，kali连接5600。我们在kali里面测试一下。用一个不是root权限的用户进行测试。遍历爆破/page_no=* 找到正确的/page_no=21。就可以享受宿主进程的权限（root权限）查看saket用户的.bashrc文件。中发现可以利用给的就是。