LYSM

介绍映像劫持（Image File Execution Options），简单的解释就是，当你执行某一程序A的时候，运行的却是另外一个程序B。实现通过修改注册表实现。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...

背景Windows 内置了 任务计划程序 功能，在计算机管理中可以看到。这个东西可以让你的程序在特定的条件下启动，很多病毒木马使用它在做自启动。手动创建一个计划任务参考：https://blog.youkuaiyun.com/weixin_43279032/article/details/90030747使用 cmd 创建一个计划任务参考：https://blog.youkuaiyun.com/weixin_30371875/article/details/97575358...

简而言之：1.用途一般用在浏览器，因为 Javascript 可以直接在堆上分配字符串。2.如何堆喷射js中大量分段申请0c0c0c0c内存，每段后面跟shellcode0到0c0c0c0c总共不到200m碰运气覆盖一个函数指针这个函数被调用的时候就会跳到0c0c0c0c处执行0c对应汇编指令or al,0c然后一直往下执行到达shellcode…原理参考：https://blog.youkuaiyun.com/lixiangminghate/article/details/53413863

背景MBR全称主引导记录（Master Boot Record），整个硬盘最开头的512字节就是它。计算机启动后会先运行MBR里的代码进行各种状态的检查和初始化的工作，然后再把控制权转交给操作系统（简单地讲就是一个JMP指令跳到操作系统的起始代码），Windows就加载启动了。MBR 病毒做的事就是直接把整个MBR覆盖掉，变成了它自己的代码，那么它想干什么都行了，只要它不主动交出代码执行流程，Windows绝没有启动的机会。代码此代码来自：https://www.cnblogs.com/xio

闲的，干点无聊的事情 _(:з」∠)_使用 NtRaiseHardError#include <iostream>#include <Windows.h>#include <winternl.h>using namespace std;typedef NTSTATUS(NTAPI *pdef_NtRaiseHardError)(NTSTATUS ErrorStatus, ULONG NumberOfParameters, ULONG UnicodeStrin

原理应用程序通过 socket 进行网络通信时会调用 ws2_32.dll 的导出函数，比如 send/recv 等，而这些函数时通过更底层的 LSP 提供的 SPI（服务提供者接口）实现的。划重点！！！ ：如果有多个符合条件的 SPI，系统将会调用在 winsock 目录最前面的那个 。所以注册一个 SPI 并插入到 winsock 目录的最前面就可以劫持 LSP 了！另外劫持 LSP 需要将代码卸载 DLL 里（毕竟人家也叫劫持嘛 ~）代码（来自网络）freesec.dll ：// 全局遍历