随笔分类 -  免杀

免杀-syscall
摘要:3x3 syscall 我们windows api的调用,通过层层调用最终还是会进入ntdll的底层函数的调用,再通过syscall快速调用进入0环实现的代码,下面我将记录一些syscall的底层基础知识,最后的代码实现是通过现成项目直接快速调用敏感api,这种现成syscall的项目很多,但是感觉 阅读全文
posted @ 2024-04-06 22:16 小新07 阅读(1228) 评论(0) 推荐(0)
免杀-异常处理_内存波动修改
摘要:3x1 远程分段加载shellcode+windows异常处理 windows异常处理机制利用原理的文章:https://forum.butian.net/share/783 异常处理的个人简单理解: 我们在上线cs后,cs是默认设置了60秒睡眠的,也就是心跳包机制,这10秒内我们的代码将会被sle 阅读全文
posted @ 2024-04-06 22:08 小新07 阅读(636) 评论(0) 推荐(0)
免杀-内存中的加解密
摘要:3x0 内存中的加解密 3x0x0 SystemFunction032 SystemFunction032:一个系统函数,可以做到在内存中加解密,调用也很方便 或者沿着这个思路我们可以找找其他在内存中加解密的方法 加密代码: #include <windows.h> #include <stdio. 阅读全文
posted @ 2024-04-06 22:07 小新07 阅读(800) 评论(0) 推荐(0)
免杀-静态绕过总结
摘要:2.静态绕过 2x0 远程分段加载shellcode 我最经常使用的一种静态绕过的方法 效果: 能过火绒360动静态,但是一些添加用户的命令依然会拦截 加上隐藏窗口360免不了,火绒还是可以 #include <winsock2.h> #include <ws2tcpip.h> #include < 阅读全文
posted @ 2024-04-06 22:05 小新07 阅读(697) 评论(0) 推荐(0)
免杀杂谈
摘要:0.零散知识 0x00 添加图标: 尝试了几种大众方法,感觉还是这篇文章的方法好用 https://www.sqlsec.com/2020/10/csexe.html#%E6%B7%BB%E5%8A%A0%E5%9B%BE%E6%A0%87 0x01 添加签名: sigthief下载地址:https 阅读全文
posted @ 2024-04-06 22:02 小新07 阅读(636) 评论(0) 推荐(0)
Shellcode注入总结
摘要:1.远程线程注入2.突破Session 0 隔离3.3环断链隐藏 阅读全文
posted @ 2024-03-26 19:59 小新07 阅读(1361) 评论(0) 推荐(0)
DLL劫持-白加黑
摘要:0x00 DLL 概念百度很多,我这里用通俗的来讲dll就像一个独立的程序,不用的时候放在那里,用的时候再调用,非常灵活,动态链接最直接的好处是磁盘和内存的消耗减少,这也是dll最初的目的。 0x01 DLL劫持的作用 在攻防里,我们经常会遇到需要权限维持,执行敏感命令(比如添加管理用户等),权限提 阅读全文
posted @ 2024-03-26 19:45 小新07 阅读(2626) 评论(0) 推荐(0)