防御性安全
关注
分享
扫一扫
文章平均质量分 75
调查取证等
WJ Clinton
这个作者很懒,什么都没留下…
展开
-
流行的 LNK + PowerShell 以及 HTA + PowerShell 混淆,分别来自 RemcosRAT 和 LokiBot
RemcosRAT 使用 lnk 文件作为初始访问,恶意 lnk 文件的 Target 参数插入了经过混淆的 PowerShell 代码,并且超出了显示长度限制原创 2024-11-12 20:35:25 · 527 阅读 · 0 评论 -
Windows 平台下内存漏洞缓解措施清单
地址空间布局随机化是微软为了防止缓冲区溢出的一项非常有效的措施,它会随机化映像基址、堆栈地址和 PEB/TEB 加载地址。在栈利用中覆盖返回地址之后通过跳板指令跳转到 shellcode,如果跳板指令地址不能控制则会利用失败,对 ROP 返回地址链同样有防御效果。通过加载或使用没有开启 ASLR 的模块,覆盖部分返回值进行有限跳转,地址信息泄露、堆喷射等原创 2023-09-11 13:14:06 · 483 阅读 · 1 评论