xf555er的博客

在Profile配置中，Stage块的某些选项允许用户修改明显的PE文件特征，比如magic_mz，它允许用户自定义4个字节的MZ头，但是当UDRL应用后此功能将不再支持，不过我们可以使用Aggressor脚本去实现此功能，甚至比magic_mz功能更加强大首先在UDRL中，我们先自定义PE Header结构，在此结构中，我们仅存放PE头结构和节表结构等有效信息。在aggressor脚本中，为了对接上述我们自定义的PE Header，我们可以使用pedump。

随着数字技术的日益进步，我们的生活、工作和娱乐越来越依赖于计算机和网络系统。然而，与此同时，恶意软件也日趋猖獗，寻求窃取信息、破坏系统或仅仅为了展现其能力。微软Windows，作为世界上最流行的操作系统，不断受到这些恶意软件的攻击。为了对抗这些潜在的威胁，微软推出了Windows Defender，一款集成于Windows内部的免费反恶意软件工具本文将深入探讨如何与Windows Defender对抗，以及那些特殊手段是如何被利用来破坏或关闭Defender的。

Inline Hook，又称为超级Hook，是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码，通常是在目标函数的开头插入一个跳转指令（jmp）。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中，我们可以执行任意的代码，然后再跳回目标函数的剩余部分。这样，我们就可以在不改变目标函数原有逻辑的基础上，添加自己的功能许多杀毒软件使用钩子（hook）技术来监视系统的API函数调用，并检测潜在的恶意代码行为。

通常来说，即使我们成功实现了mimikatz的静态免杀，其抓取hash的行为仍可能会被防病毒软件检测到虽然你可以通过修改mimikatz的源码来实现行为上的免杀，但这需要花费大量的时间。我建议针对具体功能的代码来实现免杀，例如，mimikatz的dump hash功能主要依赖于Windows API的Minidump函数。

当我们使用远程线程注入将dll注入至系统服务进程中往往会失败，这是因为大多数系统服务都是在Session0中运行的"Session 0"是Windows操作系统中的一个特殊的会话，专门用于运行系统服务和其他在用户登录之前就需要运行的程序。从Windows Vista和Windows Server 2008开始，为了提高安全性，Windows将用户和系统服务分隔在不同的会话中。具体来说，所有的服务和系统任务都在Session 0中运行，而所有用户交互任务都在其他会话中运行

异步过程调用（APC）队列是一个与线程关联的队列，用于存储要在该线程上下文中异步执行的函数。操作系统内核会跟踪每个线程的 APC 队列，并在适当的时机触发队列中挂起的函数。APC 队列通常用于实现线程间的异步通信、定时器回调以及异步 I/O 操作。内核模式 APC：由内核代码发起，通常用于处理内核级别的异步操作，如异步 I/O 完成。用户模式 APC：由用户代码发起，允许用户态应用程序将特定函数插入到线程的 APC 队列中，以便在线程上下文中异步执行。

XOR加密又称为异或加密，异或加密属于对称加密。在异或加密中，使用一个密钥（通常称为密钥流）与明文数据进行异或操作，生成加密后的密文。解密过程与加密过程相同，将密文与相同的密钥流进行异或操作，即可恢复原始明文数据AES加密，即高级加密标准（Advanced Encryption Standard）加密，是一种对称密钥加密算法，广泛应用于现代密码学中对称密钥：加密和解密过程使用相同的密钥。因此，密钥的安全性至关重要。

本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载，以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程，并提供了相关的C++代码。为了避免被杀毒软件检测，利用动态API调用和lazy_importer项目进行代码优化。其次，文章讨论了如何通过远程URL加载shellcode，也提供了相应的实现代码。

第一部分（api_call）是一个通用API调用函数，用于动态查找和调用API。第二部分（reverse_tcp）创建一个反向TCP连接，将本地机器连接到攻击者的监听器。第三部分（recv）负责接收并执行第二阶段Payload。这三部分共同实现了一段完整的Shellcode，用于反向连接攻击者机器并执行远程指令。

本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离免杀处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化免杀所需用到的相关函数和库