摘要:
要实现word模板注入,需要一个被注入的文档,以及一个注入用的模板。 1.创建一个启用宏的模板 打开word,alt+f8创建编辑宏,在Project->Microsoft Word对象->ThisDocument中编写宏代码。 Sub Document_Open() MsgBox "模板注入测试" 阅读全文
摘要:
进程注入:Process Doppelgänging 攻击者可以通过Process Doppelgänging将恶意代码注入到进程中,从而逃避基于进程的防护,并且进行可能的特权提升。Process Doppelgänging是一种在单独的活动进程的地址空间中执行任意代码的方法。 Vista中引入了W 阅读全文
摘要:
在ida目录下,symsrv.dll同目录下创建一个symsrv.yes文件。 symsrv.yes将可下载; symsrv.no将失败; 没有相关文件将会弹出授权询问,选择yes和no将创建对应文件作为下次启动时的判断条件。 https://www.unknowncheats.me/forum/g 阅读全文
摘要:
lnk lnk在Windows平台下是快捷方式,可以指向其他目录下的文件,并且可以传递参数。现在有些恶意活动会恶意利用lnk,执行恶意代码。 关于lnk的格式,可以使用010 editor的模板功能,快速识别。 如果鼠标右键创建快捷方式,可以在目标中输入执行的命令,但是字符串最长为260字节。 可以 阅读全文
摘要:
NTFS Alternate Data Stream(ADS) 1993年微软推出了基于流行的NT平台的Windows NT操作系统。之后,NTFS作为WIndows开发基于NT的操作系统时的首选文件系统,逐步取代被应用于旧版Windows操作系统(比如Windows 9x)的文件系统,即FAT(F 阅读全文
摘要:
介绍 重启管理器API可以消除或是减少在完成安装或是更新的过程中系统需要重启的次数。软件安装或是更新过程之所以需要重启系统的原因在于一些需要更新的文件正在被运行中的程序或服务使用。而重启管理器可以关闭或重启除了关键系统服务之外的所有程序和服务。 重启管理器DLL导出了一些可以被标准或是自定义的安装包 阅读全文
摘要:
CreateEvent进程间同步 CreateEvent可以创建或是打开一个命名或是未命名的event对象。 HANDLE CreateEvent( LPSECURITY_ATTRIBUTES lpEventAttributes**,** // pointer to security attribu 阅读全文
摘要:
1. Go语言二进制程序分析 在分析一些使用GOlang语言进行编译的恶意程序时,由于程序在被打包成二进制程序时会打包诸多引用的库,并且作者对二进制程序进行了去符号化,导致在动态或是静态分析时函数过多而不便于跟踪。 而如果GO编译成的二进制程序并未进行去符号化,那么在IDA中进行分析时,几乎可以相当 阅读全文
摘要:
IDA FLIRT/FLAIR FLIRT是IDA提供的一种函数识别技术,即 。这项技术使IDA能在一系列编译器的标准库文件里自动找出调用的函数,使反汇编清单清晰明了。比如说一个 库函数,反汇编出来可能就是 ,但是IDA可以通过FLIRT识别函数特征,从而标记该函数,并在反汇编窗口中显示为 ,大大增 阅读全文
摘要:
通过PEB的Ldr参数(结构体定义为_PEB_LDR_DATA),遍历当前进程加载的模块信息链表,找到目标模块。 摘自 "PEB LDR DATA" : _PEB_LDR_DATA结构体中的 、`InMemoryOrderMod 阅读全文