免杀
关注
分享
扫一扫
虚构之人
夫学须静也,才须学也,非学无以广才,非志无以成学。
展开
-
利用VEH单步异常运行ShellCode使用PAGE_GUARD保护ShellCode
【代码】利用VEH单步异常运行ShellCode使用PAGE_GUARD保护ShellCode。原创 2024-10-12 15:11:03 · 358 阅读 · 0 评论 -
Cobalt Strike 反射DLL
Cobalt Strike 反射DLL使用原创 2024-05-17 14:47:31 · 549 阅读 · 0 评论 -
自签名进行免杀
使用合法签名进行免杀原创 2024-05-07 15:24:56 · 906 阅读 · 0 评论 -
使用Detours进行HOOK
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。原创 2024-03-31 14:53:31 · 1180 阅读 · 0 评论 -
C++实现XOR加解器
【代码】C++实现XOR加解器。原创 2024-03-01 11:08:40 · 527 阅读 · 0 评论 -
PE_Loade技术解析
PeLoader技术是模拟Windows EXE装载过程,主要用于红蓝对抗对EDR查杀的规避能够具有很强静态免杀效果,随着对抗的升级PeLoader在遇到有着较强内存查杀的EDR时候,往往显得力不从心,可以使用其他技术进行对抗比如模块.text reload卸载R3 HOOK,白+黑进行白名单绕过等等,红蓝对抗是永无止境。原创 2023-12-29 15:15:33 · 821 阅读 · 0 评论 -
R3 HOOK 卸载
【代码】R3 HOOK 卸载。原创 2023-12-25 16:16:05 · 557 阅读 · 0 评论 -
杀毒引擎详解
0x0 反病毒软件工作原理目前反病毒软件引起具有三种,分别是第一代扫描技术、第二代扫描技术、与算法扫描3种。(1)第一代扫描技术 第一代扫描技术:在文件中检索病毒特征序列,主要分为字符串扫描技术和通配符扫描技术。(1.1)字符串扫描技术字符串扫描技术是一种较为古老的扫描技术,会将“ok”、“windows10”、“mimikatz”、等等的字符串进行检测匹配,字符串扫描技术就是使用从病毒或木马中提取出来的具有特征的一段字符来检测病毒,这些字符一般不会在正常技术中出现。(1.2)通配符原创 2021-11-02 14:38:38 · 984 阅读 · 0 评论 -
ShellCode原理以及编写
0x0 ShellCode编写注意事原理1)不能使用字符串的直接偏移即使你在C/C++代码中定义一个全局变量,一个取值为“Hello world”的字符串,或直接把该字符串作为参数传递给某个函数。但是,编译器会把字符串放置在一个特定的Section中(如.rdata或.data)。2)不能确定函数的地址(如printf)在shellcode中,我们却不能以逸待劳了。因为我们无法确定包含所需函数的DLL文件是否已经加载到内存。受ASLR(地址空间布局随机化)机制的影响,系统不会每次都把DLL文件加载原创 2021-07-02 11:06:52 · 3116 阅读 · 0 评论 -
免杀必看(杀软技术整理资料)
一.虚拟机概述1.仿真技术 (1)硬件仿真 定义:通过软件仿真操作系统所需要的硬件环境,包括 CPU、内存、总线等 使用案例:VMware 应用场景: 搭建反病毒分析平台,如 ThreatExpert等搭建云安全集群; (2)指令集仿真 定义:通过软件仿真特定(真实或虚拟)指令集的执行行为,例如通过仿真全部 x86 指令的行为来仿真 x86 CPU; 使用案例:Java VM,VMProtect 应用场景: 代码逻辑序列化,如ClamAV 支持把查毒代码编译成 LLVM 中间代码(原创 2021-03-26 15:43:34 · 485 阅读 · 0 评论