爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

Windows逆向之脱壳-定位OEP

# Windows逆向之脱壳-定位OEP 教学文档 ## 1. 前置知识 ### OEP (Original Entry Point) - 原始入口点 - 定义：描述可执行文件在没有被壳保护情况下的正常执行起点 - 加壳后变化： - 执行起点被改为壳的代码段 - 原始程序代码被加密/压缩存放在其他位置 - 在适当时机才会被解密和加载执行 - 重要性：找到OEP是分析加壳软件的关键步骤，只有找到OEP才能分析程序原始逻辑 ## 2. 定位OEP的方法 ### 2.1 单步追踪法

2025-08-24 13:11:32

记一次Patch exe 文件实现的静态免杀

# 静态免杀技术：通过Patch EXE文件实现VT全绿 ## 前言本文详细记录了一种通过手动Patch PE文件实现静态免杀的技术，适用于64位EXE文件。该技术通过替换EXE文件中的函数代码，使程序启动时执行修改后的代码，从而达到免杀效果。 ## 基本概念 ### PE文件 Windows可执行文件的统称，常见扩展名包括exe、dll、sys等。PE文件需要满足特定的文件格式。 ### 关键地址概念 - **VA (Virtual Address)**: 虚拟内存地址，PE文件被

2025-08-24 13:10:23

某黑产组织捆绑VPN和TG等安装程序进行攻击活动

# 黑产组织捆绑VPN和TG安装程序攻击活动分析报告 ## 前言概述近期发现一起黑产组织通过捆绑LetsVPN和Telegram(TG)等合法软件安装程序进行攻击的案例。该攻击样本采用多种对抗技术，包括字符串混淆、多阶段加载、反虚拟机检测和安全软件对抗等手段。本报告将详细分析该攻击样本的技术细节。 ## 样本初始分析 ### 1. 初始样本特征 - 文件类型：MSI安装程序 - 捆绑内容：LetsVPN安装程序 - 混淆技术：安装脚本中的字符串采用逆序存储，运行时通过StrRevers

2025-08-24 13:09:32

针对一个红队病毒样本逆向分析

# 红队病毒样本逆向分析教学文档 ## 1. 样本概述该样本是一个采用多种高级免杀技术的恶意软件，主要特点包括： - 使用合法签名文件(taskhost.exe)进行DLL侧加载 - 多层加密载荷释放 - 滥用Google Drive进行C2通信 - 采用多种杀软规避技术执行流程： ``` taskhost.exe(合法签名) → 侧载sbiedll.dll(恶意DLL) → 解密sbiedll.dat → 释放MoonWalk后门 → Google Drive C2通信 ```

2025-08-24 13:08:48

对CS sleepmask_kit中evasive_sleep与堆栈欺骗的源码分析

# CS sleepmask_kit中evasive_sleep与堆栈欺骗技术深度分析 ## 1. 概述本文详细分析Cobalt Strike sleepmask_kit中的evasive_sleep功能及其堆栈欺骗技术实现。这些技术主要用于在Beacon休眠期间对内存数据进行混淆遮掩，以规避内存扫描检测。 ## 2. EVASIVE_SLEEP功能 ### 2.1 基本配置 EVASIVE_SLEEP默认关闭，需手动启用： ```c #if _WIN64 #define EVASI

2025-08-24 13:07:43

一种基于patch免杀技术的自动化实现VT0

# 基于Patch免杀技术的自动化实现详解 ## 1. 技术背景与原理 ### 1.1 免杀技术概述 Patch免杀技术是一种通过修改合法PE文件中的特定函数代码，将其替换为恶意shellcode的技术。这种技术的优势在于： - 保留了原始文件的合法签名和大部分静态特征 - 利用了合法程序的执行流程，降低了行为分析的检测率 - 在VT（VirusTotal）等扫描引擎中能保持较低的检测率 ### 1.2 技术核心原理该技术的核心在于： 1. 选择一个合法PE文件（如7za.exe）

2025-08-24 12:55:53

用zig编写Windows的shellcode

# 使用Zig编写Windows Shellcode教学文档 ## 1. 概述本教程将详细介绍如何使用Zig语言(版本0.11.0)编写Windows平台的shellcode。与传统的汇编或C语言实现相比，Zig提供了更现代化的语言特性，如编译时反射、泛型等，可以更简洁高效地实现shellcode。 ## 2. Shellcode基本原理 Windows下shellcode的通用流程： 1. 通过PEB遍历获取DLL模块的地址 2. 搜索DLL模块的导出表获取需要的API 3. 通过A

2025-08-24 12:54:51

CISCN2024决赛 build_wp

# CISCN2024决赛build_wp教学文档 ## 1. 新手任务 ### 1.1 基础操作流程 1. **模拟工程师登录流程** - 在`/root/2024buildup/instance/monitor/center`目录下找到`user.list`文件 - 使用用户`zhao`登录（后续题目大多使用此用户） - 执行命令：`sh users_login.sh engineer_login.msg` 2. **模拟逻辑代码上传** - 填写正确的上传代

2025-08-24 12:53:17

对ejs引擎漏洞及函数特性的利用

# EJS引擎漏洞及函数特性利用分析 ## 1. 漏洞背景本文以2024 CISCN决赛ezjs题目为例，分析EJS模板引擎的多个漏洞利用方式。题目基于Node.js的Express框架，使用EJS作为模板引擎，存在多处安全漏洞可被利用实现远程代码执行(RCE)。 ## 2. 题目架构分析 ### 2.1 主要模块 - Express框架 - EJS模板引擎 - express-session会话管理 - multer文件上传处理 - fs文件系统操作 ### 2.2 关键路由功能

2025-08-24 12:51:43

从0到1学会Jetty内存马注入

# Jetty内存马注入技术详解 ## 一、Jetty基础介绍 Jetty是一个开源的Servlet容器，为基于Java的Web应用（如JSP和Servlet）提供运行环境。与Tomcat不同，Jetty是一个轻量级的Web容器，其API以一组JAR包形式发布。 ## 二、环境搭建 ### 1. 项目创建使用Maven Archetype创建Webapp模板项目，pom.xml配置如下： ```xml 4.0.0 org.example JettyMems

2025-08-24 12:50:51

MuddyWaterAPT之宏病毒分析

抱歉，无法读取该文件。请更新其他文件，我可以为你进行总结。

2025-08-24 12:48:39

格式化字符串漏洞小总结（上）

# 格式化字符串漏洞详解（上） ## 前言格式化字符串漏洞是二进制安全领域中的一个重要漏洞类型，本文将从理论层面详细解析格式化字符串漏洞的原理和利用方法。 ## 格式化字符串基础格式化字符串的基本格式： ``` %[parameter][flags][field width][.precision][length]type ``` ### 关键参数解析 - **parameter**：`n$`，获取格式化字符串中的指定参数 - **field width**：输出的最小宽度 -

2025-08-24 12:48:20

跳转到页