只有博主才能阅读该文。 阅读全文
posted @ 2018-01-07 22:19 17bdw 阅读(263) 评论(0) 推荐(0) 编辑
摘要:IDA加载文件过程 在IDA中打开可执行文件时使用静态分析器分析该文件,也称为Loader。在这种装载程序模式下,该程序将不会执行而是交给IDA静态分析,并最终创建一个.idb文件,分析过程中存储信息(包括重命名)的数据库。变量,函数名,标题...都存在这个文件里。 而.idb文件将是分析过程间产生 阅读全文
posted @ 2020-05-17 01:41 17bdw 阅读(756) 评论(0) 推荐(0) 编辑
摘要:APT高级持续性威胁是一种发动复杂攻击手段达到窃取敏感信息而且不被发现的攻击形式,APT黑客组织攻击的目标包括政府,国防,金融服务,法律服务,工业,电信,消费品等等行业的单位与企业。 采用目标侦擦,渗透测试,绕过安全机制和窃取信息等不同阶段实施APT攻击。经验丰富的网络犯罪分子们花费大量时间对一个特 阅读全文
posted @ 2020-03-31 22:53 17bdw 阅读(958) 评论(0) 推荐(0) 编辑
摘要:目标搜集 某些场景需要扩大范围进行资产收集和扫描,需要自己生成大量的目标IP主机。既然网上已经有很多成型工具只要套用就可以组成这样源源不断的目标了。通过某些特定列表得到固定的目标网址,然后查询网址对应的AS号,AS号下的IP段,IP段对应的域名信息。再进一步查子域名、旁站域名。筛出要测试的应用和端口 阅读全文
posted @ 2020-03-18 18:02 17bdw 阅读(341) 评论(0) 推荐(0) 编辑
摘要:投放方式是一个zip包,里面是一个快捷方式文件xxx.lnk。xxx.lnk里的内容是mshta运行网址转向的xx.hta文件。中途还要收集一波点开人员的机器信息。 hta里的加密形式遇见了好几次都是手工解的。效率很低,而且相关的样本很多。使用Python脚本进行解密是一个不错的选择。 两种混淆加密 阅读全文
posted @ 2020-02-27 14:08 17bdw 阅读(395) 评论(0) 推荐(0) 编辑
摘要:02 从零开始用IDA做逆向 0x01、进制的概念 计算机中的进制概念是初学者必须知道的基础知识,学习逆向或者构造漏洞利用的时候会接触到这层面知识。二进制,十进制和十六进制的基本概念如下: BINARY(二进制数) :由两个数字0和1组成。 DECIMAL(十进制数) :数字由10位数字(从0到9) 阅读全文
posted @ 2020-02-09 03:26 17bdw 阅读(1259) 评论(0) 推荐(0) 编辑
摘要:0x01、IDA是什么 交互式反汇编器专业版(Interactive Disassembler Professional)简称为IDA。IDA Pro是一款支持交互、可编程的、扩展插件、支持多种处理器的逆向工程利器。 0x02、为什么要用IDA Pro? 为什么要用IDA?因为OD是一个只能调试32 阅读全文
posted @ 2020-01-29 02:43 17bdw 阅读(2281) 评论(3) 推荐(2) 编辑
摘要:几个月前 "enSilo的终端防护平台" 阻止过在Windows正常进程里运行Payload的恶意行为。 深入挖掘后发现攻击者利用DLL搜索顺序加载恶意DLL。 受控环境里的有些样本和FireEye最近发布的FIN7组织新工具和技术(特别是BOOSTWRITE)报告里的样本描述吻合。 与BOOSTW 阅读全文
posted @ 2020-01-18 21:44 17bdw 阅读(228) 评论(0) 推荐(0) 编辑
摘要:几天前,我发布了 "Bug Diaries" Burp扩展。这是一个Burp扩展程序,使社区(免费)版 Burp 拥有相似的issue功能 。由于某些原因,现在决定用Java重写。这是我学习切换到Java系列文章的第一部分。 本部分讨论如何设置环境以使用 "Visual Studio Code" 进 阅读全文
posted @ 2020-01-10 14:50 17bdw 阅读(385) 评论(0) 推荐(0) 编辑
摘要:调用ftp.exe执行系统命令,不是太新奇的技术,可以不必大惊小怪。 在看雪论坛看到使用FTP执行恶意代码的病毒样本。 ,使用 号是转义到shell。 伪装快捷方式执行命令 样本伪装的文档快捷方式调用ftp.exe进行执行命令。而调用的恶意代码是隐写到文档里的,开头用ftp执行了内置的 转到shel 阅读全文
posted @ 2019-12-28 00:51 17bdw 阅读(384) 评论(0) 推荐(0) 编辑
摘要:使用浏览器对WebRTC的特性可以在渗透过程中扫描局域网,目前已经有许多利用 "XHR请求" 、 "websockets" 或 "存粹的HTML代码" 来发现和识别局域网设备的例子。WebRTC名称源自网页即时通信(英语:Web Real Time Communication)的缩写,是一个支持网页 阅读全文
posted @ 2019-12-23 18:52 17bdw 阅读(444) 评论(0) 推荐(0) 编辑