进程内存隐藏
进程内存隐藏 X、EDR内存检测 我们要先了解EDR扫描内存中ShellCode的原理与流程: 原理: 内存权限:正常程序的内存页通常是只读或者读写,而ShellCode为了执行必须拥有执行权限(即 RX 或 RWX)的内存段。 因此…
无代码Hooking
无代码Hooking 一、保护页(Guard Pages)介绍 Guard Pages(保护页)是 Windows 内存页的特殊属性(PAGE_GUARD),访问时触发STATUS_GUARD_PAGE_VIOLATION异常,核心是无代码修改实现监控 /hook 关键API // 注…
PEB操作
PEB操作 一、PEB介绍 PEB进程环境块:WIndows 操作系统为每个运行中的进程分配的一个内部数据结构,在用户态Ring3层。 核心作用:存储操作系统(如系统加载器ntdll.dll)在用户态需要频繁访问进程级的全局信…
全局Hook
全局Hook 一、WMI监控介绍 WMI(Windows Management Instrumentation)监控室我们隐蔽收集目标系统信息、监控系统行为的核心手段,基于WIndows自带管理框架,无需额外安装组件,隐蔽性强,可以实时监控进程创建/退…
进程遍历专题
进程遍历专题 三种进程遍历的方式 一、Toolhelp API 进程遍历 #include <Windows.h> #include <stdio.h> #include <TlHelp32.h> int EnumProcess() { PROCESSENTRY32 pe32 = { 0 }; /…
文件系统隐藏技术
文件系统隐藏技术 一、时间戳修改 (一)文件时间戳 Windows(NTFS文件系统)的MACE时间 Mtime (Modification Time / 修改时间):文件内容的最后修改时间。 Atime (Access Time / 访问时间):文件内容的最后访…
WIndows ShellCode开发 第四章 动态API调用
WIndows ShellCode开发 第四章 动态API调用 不检验直接跳到这一章,最好是将第二第三章命令仔细看完然后再来这一章,因为已经写过一遍的缘故,其中代码可以只会将重要部分进行注释,但逻辑讲解不会省略 消息框汇编…
WIndows ShellCode开发 第三章 x64汇编细节点
WIndows ShellCode开发 第三章 x64汇编细节点 在ShellCode开发中原生无更改的ShellCode特征没有隐藏,并且还存在一些影响稳定性的因素,这一篇就x64编写ShellCode的细节进行探究。 一、位命令消除编译链接产生的字…
WIndows ShellCode开发 第二章 x64基础与简单x64程序
WIndows ShellCode开发 第二章 x64基础与简单x64程序 本篇将使用NASM汇编语法作为我们x64汇编编码需求首选。 第一部分:x64基础:寄存器 寄存器值类型: 易失性:RAX、RCX、RDX、R8、R9、R10、R11 非易失性:RB…
高级代码注入
高级代码注入 高级代码注入将经典的代码注入,利用变种、劫持、映射、APC、EarlyBird等技术,进阶我们的防御规避手段 知识卡片 回顾经典注入手段:OpenProcess -> VirtualAllocEx -> WriteProcessMemory -&…
Dropper设计与实现
Dropper设计与实现 知识卡片 了解隐藏: 用户态隐藏(隐藏窗口、文件、进程)、内核态隐藏(Rootkit) Dropper定义: 用于“投递”恶意载荷的轻量级程序。 Dropper vs. Loader:Dropper通常负责释放并运行载…
Copyright © One_Blanks Powered WordPress Theme Qzdy
很有帮助