软件安全
probeTS
这个作者很懒,什么都没留下…
展开
-
利用DOCX文档远程模板注入执行宏代码
利用DOCX文档远程模板注入执行宏代码简介本地文件中在没有宏代码的情况下,攻击者可以尝试执行远程文件中宏代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件,文件内没有任何宏相关信息,但是打开该文件后,却会弹出经典的“宏安全警告”。本实验将实现通过远程加载执行宏代码的攻击方式。应用场景该种攻击方式与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...原创 2020-04-03 11:26:53 · 2656 阅读 · 1 评论 -
FAT32下文件删除的手动恢复
磁盘结构磁盘的结构一般由主引导记录 (MBR)、基本分区和扩展分区组成。其中,主引导记录又可以称为主引导扇区,由引导程序和分区表组成,主引导扇区的最后两个字节为 0x55AA,代表着主引导扇区的结束。在 MBR 分区表中最多4个主分区或者 3 个主分区+ 1 个扩展分区,也就是说扩展分区只能有一个,然后可以再细分为多个逻辑分区。Windows系统默认情况下,一般都是只划分一个主分区给系统,剩余...原创 2020-03-03 00:13:12 · 2042 阅读 · 1 评论 -
Windbg解析程序运行时虚拟地址对应的物理地址
分析虚拟地址本次实验使用 Windbg 解析 hello25.exe 程序运行时虚拟地址 0x00403000h 对应的物理地址,那么首先我们先对虚拟地址 0x00403000h 进行分析。在 64 位操作系统下,虚拟地址的 63-48 位是符号扩展位,在虚拟地址到物理地址的转换过程中没有实际作用,所以我们重点关注剩下的 48 位,其中,47-39 位表示 PML4E,38-30位表示PDPT...原创 2020-03-02 17:07:52 · 2136 阅读 · 0 评论