恶意代码技术理论:curl模仿mshta协议下载载荷
curl -H “Accept: /” -H “Accept-Language: ru,en0US;q=0.3” -H “UA-CPU: AMD64” -H “Accept-Encoding: gzip, deflate” -H “User-Agent……
恶意代码技术理论:分级保护域
简介 在计算机科学中, 分级保护域(英语:hierarchical protection domains,经常被叫作保护环(Protection Rings),又称环型保护(Rings Protection)、CPU环(CPU Rings),简称Rings。这是一种用来在发生故障时保护数据和功能,提升容错度,避免恶意操作 ,提升计算机安全的设计方式。这是一种……
恶意代码技术理论:msi恶意代码分析
简介 MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。 MSI文件将程序的组成文件与功能关联起来。此外,它还包含有关安装过程本身的信息。如目标文件夹路径、系统依赖项、安装选项和控制安装过程的属性。采用MSI安装的优势在于你可以随时彻底删除它们,更改……
基于LLVM的可重定向机器代码反编译器-RetDec
https://github.com/avast/retdec LLVM IR 指令序列 LLVM IR 是 LLVM Intermediate Representation(中间形似),它是一种 low-level languange,是一个像RISC的指令集 LLVM是一组编译器和工具链技术,可用于开发任何编程语言的前端和任何指令集架构的后端。LLVM……
恶意代码漏洞分析:CVE-2022-30190(FOLLINA)分析
简介 2022年5月27日,安全研究人员nao_sec上传了一个样本,称这个样本从白俄罗斯上传,使用了一系列技巧来运行恶意 PowerShell 脚本。 MD5:52945af1def85b171870b31fa4782e52 SHA1:06727ffda60359236a8029e0b3e8a0fd11c23313 SHA256:4a24048f81afb……
恶意代码技术理论:Confuserex
官方地址:https://yck1509.github.io/ConfuserEx/ github地址:https://github.com/yck1509/ConfuserEx ConfuserEx 是一个免费的、开源的 .NET 应用程序保护器。它是Confuser项目的继承者。 这个打包程序使用 LZMA 压缩算法减少了输出的大小。项目中只能有一个可执……
恶意代码技术理论:命名管道
命名管道如何工作 服务器负责设置命名管道,然后等待一个或多个客户端连接。然后,服务器和客户端将命名管道视为一个文件,使用 CreateFile、ReadFile 和 Write 文件通过管道进行通信。完成后,它们都可以像标准文件一样关闭管道。 利用powershell创建命名管道 try { $pipeName = "bad_pipe" $pipe……
恶意代码技术理论:修改capa输出自定义消息
flare-capa模块 适用于capa3.0.3 capa_ana.py #!/usr/bin/env python3 # -*- coding: utf-8 -*- # @Time : 2021/12/14 13:24 # @Author : wing import re import sys import json from……
漏洞学习:缓冲区溢出
概念 目前有两种主要类型的缓冲区溢出 基于堆 基于堆栈 堆与堆栈 在程序执行之前,加载程序为其分配一个虚拟地址空间,其中包括堆和堆栈的地址。 堆是一块内存,用于全局变量和变量在运行时分配的内存(动态分配)。 就像自助餐上的一堆盘子一样,软件栈是由保存被调用函数的局部变量的框架构成的。调用函数时将帧压入(放入)堆栈,并在返回时从堆栈中弹出(移出)。如果有……
漏洞学习:空指针解引用
概念 C/C++语言空指针的值为NULL,一般NULL指针指向进程的最小地址,通常这个值为0. 当程序试图解引用一个期望非空,但是实际为空的指针时,会发生空指针解引用错误。可以导致程序异常终止或拒绝服务。 空指针解引用时C/C++程序中较为普遍存在的内存缺陷类型,当指针指向无效的内存地址并对其解引用时,产生不可预见错误,导致软件崩溃或者拒绝服务。 漏洞……