- 博客(22)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 FormBook ? 某NSIS打包程序ShellCode的hash算法
import lief,sysdef CalculateHash(name): name = list(map(ord,name)) i = 8998 for b in range(len(name)): i += name[b] + (((i >> 1) & 0xffffffff) | ((i << 7)& 0xffffffff)) hash = i & 0xffffffff
2021-11-23 10:30:30
1404
原创 MuddyWaterPsDecode.py
#APT #MuddyWateralpha1 = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'alpha2 = 'NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm'fileName = 'C:\\Users\\xxx\\Desktop\\malware\\MuddyWater.txt'outfileName = 'C:\\Users\\xxx\\Desktop\\malware\\
2021-11-17 11:34:54
144
原创 编写一个简易调试器
菜鸡的日常,复习一下调试器,简单CV点代码,调试器调试程序有两种方式,一种是创建进程,另一种便是附加:while (TRUE) { printf("1.创建新的调试进程\n"); printf("2.附加待调试的进程\n"); int input = 0; scanf_s("%d", &input); if (input == 1) { printf("请输入调试进程的路径:\n"); char Path[MAX_PATH] = { 0 }; scanf
2021-05-17 17:57:29
2021
1
原创 YARA扫描svchost.exe
一般来说,只知道svchost.exe被注入了shellcode,但是不知道注入了那个,需要扫描当前系统的所有svchost.exe时,人工输入进程的PID比较麻烦,简单写了个脚本来实现自动输入参数。import psutilimport osprocessdict = {} # 存放进程信息的字典path = os.path.split(os.path.realpath(__file__))[0]#当前脚本路径def main(): print("----------------
2021-04-15 10:04:27
376
1
原创 HEVD之栈溢出
自学习CVE-2017-11882漏洞后,便开始希望学习更多的漏洞,提高一下对漏洞的理解。在github上找到一个很好的项目,基本涵盖了所有漏洞(https://github.com/hacksysteam/HackSysExtremeVulnerableDriver)。下载下来后,执行过后得到驱动文件HEVD.sys,以及漏洞利用程序HackSysEVDExploit.exe,然后开启双...
2020-05-15 19:09:14
877
原创 永恒之蓝漏洞简单分析
目录前言Shadow Brokers Group测试环境漏洞分析CVE-2017-0144前言自从上次快把HEVD栈溢出的博客写完,不小心手贱点关了,结果菜鸡的我一顿操作都没找回来,就不想写博客了(后来大佬说使用windbg附加,找到那块内存,dump出来就可以还原了,自己还是太年轻呀)。隔了一个月没写博客,就感觉很多东西记不住,还是简单写写吧。2017年,网络安全...
2020-04-24 19:56:48
3499
原创 陈年老洞CVE-2017-11882漏洞分析
目录漏洞简介影响版本Office基础漏洞分析获取POC漏洞演示漏洞定位漏洞分析漏洞简介2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了长达17年的Office远程代码执行(CVE-2017-11882)陈年老洞。该漏洞属于缓冲区溢出类型漏洞,影响目前流行的所有Office版本,产生漏洞原因于EQNEDT32.EXE...
2020-03-16 15:30:55
774
2
原创 脱ZP壳笔记
遇到一个较难的壳,记录一下。样本HASH:1B9FD1D77A106CADF8485B03F44B7668到达OEP,查看有没有抽取代码随便跟进一个call,看到jmp到一个堆地址里面,说明是有抽取代码的,那就修改一下文件,但这壳有文件校验,那么先过一下文件校验。过文件校验,先增加区段运行,发现崩了,文件校验的原因,过它。。。打开文件,OD载入,下断 bp Ma...
2019-12-10 11:18:31
704
原创 宏病毒(2)
样本HASH:AB74EE2373229626FE368A83D98F2A47扫下VT,可以看到有45家报毒了。微步在线查一波,看下报告。执行流程现在来打开样本,日常宏警告。这次用个工具,把宏弄出来。先用olevba看下大体情况。+----------+--------------------+----------------------------...
2019-12-09 17:18:19
565
原创 宏病毒(1)
样本HASH:02BA9703D1F250B411EA4C868D17FD2E先打开样本,发现是老版的宏警告。然后点击启用宏,ALT+F11查看宏代码(打开之前可以按住shift,防止一切宏运行,但很多时候不好使),然后找到宏开始的地方,然后开始调试。CTRL+F8运行到光标处,然后F8开始单步。Sub userNaveLoadr() Dim path_Nave...
2019-12-09 15:08:36
579
原创 记一个宏病毒样本
在未知的道路上越来越菜——2019.10.18拿到一个新样本,却连最基本的宏病毒都没分析清楚,是真的菜,首先,分析要有一个方向,方向错了,便会浪费很多时间,而从事安全这个行业,时间是异常宝贵的。所以,感觉自己需要写一篇博客来提醒自己......1、提取宏首先这是一个宏病毒,多的不说,如果不想观察宏病毒的动态行为,就没必要打开宏病毒,用工具提取。前提是你得先装工具。然后查看宏,心...
2019-12-09 10:55:08
2397
5
原创 怎么调试有Hook的DLL样本
样本hash:5BBEFA25D955C4C5737A8C665AE48F1A该样本VT和微步在线都能得到,属于parite家族,使用了多态变形技术进行躲避传统杀毒软件的特征码查杀。查壳发现有UPX壳,这个样本让我比较新奇的是,在你脱壳的时候就将恶意行为做完了,以开启全局钩子的方式将恶意DLL文件注入到多个进程,在注入DLL对进程进行判断,如果不是explorer则退出,并开启线程,对计算机中...
2019-11-16 17:55:13
371
原创 DLL注入技术之消息钩子注入(HOOK简单的实现)
低头不是认输,是要看清自己的路。仰头不是骄傲,是看见自己的天空。——致自己Hook,是Windows消息处理机制的一个平台,应用程序可以在上面设置子程序以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。简单来说,如下图所示(个人理解,如有错误请留言):现在开始简单的编写一...
2019-10-19 10:13:54
4619
5
原创 常用文件标识符classID
classID:(类标识符)也称为CLASSID或CLSID,是与某一个类对象相联系的唯一标记(UUID)。一个准备创建多个对象的类对象应将其CLSID注册到系统注册数据库的任务表中,以使客户能够定位并装载与该对象有关的可执行代码。如:控制面板 {21EC2020-3AEA-1069-A2DD-08002B30309D}、计划任务 {D6277990-4C6A-11CF-8D87-00AA00...
2019-10-15 21:23:12
3940
转载 HOOK之APIhook(转)
日常抄好友代码,原文链接:https://www.jianshu.com/p/1c8280bc88a4最近分析一个样本,发现其是hook一个API函数,逻辑如下:hook函数1.获取ZwWriteVirtualMemory的基址HMODULE ntdll = LoadLibraryA("ntdll.dll");byte * ZwBase =(byte *)GetProcAdd...
2019-10-15 20:54:56
567
原创 IDA的一些快捷键
用到了再更新空格键 :反汇编窗口切换文本跟图形ESC退到上一个操作地址G搜索地址或者符号N重命名分号键 :注释ALT+M 添加标签CTRL+M 列出所有标签CTRL +S 二进制段的开始地址结束地址C code 光标地址出内容解析成代码P 在函数开始处使用P,从当前地址处解析成函数D data解析成数据A ASCII解析成ASCIIU unDefined解析成未定义的内容...
2019-08-29 10:08:08
796
原创 文件和文件夹权限设置使用的是哪个程序和命令
用的是C:\Windows\System32下的cacls.exe或者icacls.execacls.exe参数:/G user:perm 赋予指定用户访问权限。Perm 可以是: R读取 W写入 C 更改(写入) F完全控制。/T 更改当前目录及其所有子目录中指定文件的 ACL。/P user:perm替换指定用户的访问权限。Perm 可以是: N无 R读取W写入C更改(写入...
2019-08-28 21:09:22
240
原创 查看域账号命令
查询域管理员用户:net group “domain admins” /domain查询域用户:net user /domain查询域名称:net view /domain查询域内计算机:net view /domain:XX查询域控制器:net time /domain查询所有域控制器:dsquery server例:dsquery server -domain supe...
2019-08-28 21:07:01
13201
原创 常见API组合
不定期更新傀儡进程常用的函数配合方案一:NtUnmapViewOfSection 或者 ZwUnmapViewOfSection、VirtualAllocEx方案二:WriteProcessMemory、SetThreadContext、ResumeThread常见傀儡进程流程:(1)CreateProcess一个进程,并挂起,即向dwCreationFlags参数传入CR...
2019-08-23 20:38:20
536
2
原创 DLL搜索的目录顺序(DLL劫持)
DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(...
2019-08-23 14:39:11
1319
原创 Dll的隐式链接和显示链接
动态调用即显示链接,静态调用即隐式链接。动态链接库(Dynamic Linked Library)缩写就是将一些api函数写入到一个dll文件中,在程序在程序运行时再加载到程序的进程空间中使用,这样可以让运行程序本身体积较小,方便模块化编程。后缀名一般是.dll。静态链接库(StaticLibrary)和动态链接库作用基本相同但是静态链接库在编译链接可执行文件时,链接器从库中复制这些函数和...
2019-08-23 11:36:52
1000
3
原创 NTFS文件流实践
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数...
2019-08-23 00:00:30
1024
常见算法思想.pptx
2019-06-11
逻辑问题.pptx
2019-06-11
二级C无纸化考试模拟软件.zip
2019-06-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人