背景介绍在日常工作中,我们深入分析了一起复杂的后门木马攻击事件。调查过程中,我们发现受感染终端的防病毒软件出现异常,无法正常工作,所有防护功能均被强制关闭。经过进一步的深入分析和溯…
众所周知,一个漏洞在出现之后,会很快被各大杀软发现,紧接着就会更新病毒库,针对该漏洞进行检测。像rar之类并不会自动更新的软件,这些漏洞却因为杀软而无法使用。授人以鱼不如授人以渔。…
大家好,我是一个在IT行业十余年的小菜鸟,今天与大家讲一讲不一样的免杀。一 常见的免杀。shellcode混淆,汇编花指令,使用常见的xor,AES等加密,这种方式不能说一定无法免…
Hello,今天给大家带来一起关于自查木马远控,预防电信诈骗的文章,本文所介绍的方法可以有效查杀市面90%的后门木马,有效避免木马类电信诈骗。问一:木马远控为什么会和电信诈骗有关?…
本文目录APC注⼊另⼀种⽆需创建新线程即可运⾏有效负载的⽅法。此技术称为 APC 注⼊。什么是 APC?异步过程程调⽤ 是⼀种 Windows 操作系统机制,它使程序能够异步执⾏任…
本公众号技术文章仅供参考! 文章仅用于学习交流,请勿利用文章中的技术对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。该文章为从0…
前记原理CS在高版本中推出了sleep mask功能,即在beacon sleep时对堆进行加密混淆,绕过内存扫描,在恢复运行前还原,防止进程崩溃。beacon每次运行的时间远短于…
前记思路:直接dumplsass原文会被杀软删掉,通过hook WriteAll对dump的内容先加密再保存到磁盘并离线解密项目已开源,该项目采用hook WriteAll+dup…
前记实战中持久化的手段常用的就是加服务、添改注册表、加计划任务、劫持等,这里探索c/c++下的自启免杀。注册表用户级\HKEY_CURRENT_USER\Software\Micr…
前记许多EDR产品常见的操作是将他们的DLL注入到其想监测的进程中,寻找前辈们的防注入思路发现大概有以下两种,分别是:1、PROCESS_CREATION_MITIGATION_P…