- 博客(6)
- 收藏
- 关注
RSS订阅原创 常见Windows反调试手段
文章目录检测数据结构BeingDebuged(字段检测)检测ProcessHeap属性判断STARTUPINFO信息NtGlobalFlagbypass添加IMAGE_LOAD_CONFIG_DIRECTORY结构API反调试NtQueryInformationProcessGetLastError**ZwSetInformationThread**系统痕迹查找调试器引用的注册表项查找窗体信息查找...
2020-06-30 20:47:29
2052
原创 YARA语法
文章目录YARA基础语法 YARA基础语法 YARA关键字 all in private and include rule any index rva ascii indexes section at int8 strings condition int16 them contains int32 true entrypoint matches uint8 false ...
2020-06-30 20:47:17
1432
原创 常见漏洞收录
文章目录OFFICE 漏洞Adobe漏洞 OFFICE 漏洞 漏洞名称 简介 组织 CVE-2009-2496 堆损耗远程代码执行漏洞,又称作 “Office Web 组件堆损耗漏洞 丰收行动 CVE-2010-3333 RTF分析器堆栈溢出漏洞,又称”RTF栈缓冲区溢出漏洞” CVE-2012-0158 Microsoft Windows Common Controls...
2020-06-30 20:47:03
698
原创 Win 32API速查
文章目录Win32API用户篇内核篇参数表WinExecVirtualAllocExCreateProcessAdjustTokenPrivilegesNtQueryInformationProcessRtlCompressBufferRtlDecompressBufferCryptAcquireContextCryptGetHashParamCreateServiceCryptDeriveKey...
2020-06-30 20:46:42
2402
原创 病毒分析常见速查
文章目录注册表父进程环境变量与对应路径宏病毒相关常用"宏"的名称隐蔽执行手段调用外部例程和命令执行宏病毒恶意行为常用字符 注册表 父进程 进程名 作用 路径 EQNEDT32 公式编辑器 C:\Program Files\Common Files\microsoft shared\EQUATION\EQNEDT32.EXE winword office办公软件 环境变量与...
2020-06-30 20:45:01
3821
原创 GadgetToJScript工具分析及使用
文章目录0x1 介绍0x2 代码结构0x3 实现逻辑0x4 利用分析0x5 使用方式0x6 参考链接 0x1 介绍 GadgetToJScript工具能够将.Net程序封装在js或vbs脚本中,相比于James Forshaw开源的DotNetToJScript,修改了反序列化调用链,能够绕过AMSI,添加了绕过.Net 4.8+阻止Assembly.Load的功能。 该工具生成.NET序列化的小...
2020-04-03 16:35:32
1491
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人