非常欢迎大家加入我的知识星球。
以下列表是我在星球中做的一些技术分享,进入该索引的文章通常是我认为比较代表性必看的一类文章,基础知识部分包含了我认为是在本知识星球进行学习必备的知识,具备基础知识后的后续内容会按照分类整理依次整理,并及时更新。
当前更新时间:2022年6月8日。
非常欢迎大家加入我的知识星球。
以下列表是我在星球中做的一些技术分享,进入该索引的文章通常是我认为比较代表性必看的一类文章,基础知识部分包含了我认为是在本知识星球进行学习必备的知识,具备基础知识后的后续内容会按照分类整理依次整理,并及时更新。
当前更新时间:2022年6月8日。
参考文档:
https://www.sweetscape.com/010editor/manual/IntroTemplates.htm
https://bbs.pediy.com/thread-257797.htm
https://lyana-nullptr.github.io/2024/07/27/try-the-template-of-010editor/
模板文件的开头会有如下信息:
1 | // File: |
程序会优先用File Mask匹配文件扩展名,再用ID Bytes匹配魔术数,匹配成功的话就会自动加载模板文件。
原文地址: https://www.gdatasoftware.com/blog/2022/06/37445-malware-detection-is-hard
科研人员开发的人工智能检测引擎具有98% 的恶意软件检测率和5% 的假阳性率。如果您认为这是一种非常好的防病毒软件技术,那么本文可能会改变您的想法。
具备检测相关经验的同学可能都对yara匹配引擎比较熟悉了,看雪论坛上也有非常详细的翻译文章 - 编写Yara规则检测恶意软件
本文主要对yara文档容易被忽略的部分进行了翻译和总结,并且给出一些进阶用法的例子,提高对yara匹配引擎语法的理解程度。
常规的shellcode注入一般是通过VirtualAllocEx
,WriteProcessMemory
和 CreateRemoteThread
来实现的,但是这种方式是被安全软件重点监控的,同时微软提供的ETW接口也是可以轻易检测出上述方式进行代码注入的痕迹。本文的核心是讲解怎么利用具备 RWX-S 权限且自身有签名的白DLL进行一种比较隐蔽的shellcode注入,
并讲解具体的代码实现以及在写代码实现的过程中遇到的坑。本方法是由文章提出的:https://billdemirkapi.me/sharing-is-caring-abusing-shared-sections-for-code-injection/ ,详情可以参考此文章。
我的知识星球开启内测了,用微信扫描下面的小程序就可以免费加入,来和我一起学习安全技术。(在圈子内可以下载到源代码)
本文首发于安全客: https://www.anquanke.com/post/id/248688
在上一节我们已经通过自己编写的编码器对shellcode进行了编码,并且构建了一个ELF文件,但是出乎意料的是McAfee
和 McAfee-GW-Edition
还会报毒为木马,经过我的研究,我发现McAfee
判黑的逻辑非常简单,只要文件大小小于某个阈值,并且EntryPoint
附近有无法反汇编的数据,就会被报黑。这么看来,想让上一节的ELF文件不被所有的引擎检测就非常简单了,只需要在文件结尾再写一些乱数据就搞定了。