爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

某黑产最新远控服务端加载器详细分析

# 某黑产最新远控服务端加载器技术分析报告 ## 1. 样本概述 - **编译时间**：2024年8月14日 - **样本类型**：远控服务端加载器 - **检测率**：较低（威胁情报沙箱平台检测） - **攻击方式**：疑似通过钓鱼攻击传播 ## 2. 权限提升机制样本首先检查当前进程是否具有管理员权限： ```c if (!IsUserAnAdmin()) { // 以管理员权限重新启动自身 ShellExecute(NULL, "runas", szPath,

2025-08-24 05:11:08

SilentCryptoMiner挖矿木马攻击场景复现及技术剖析

# SilentCryptoMiner挖矿木马技术分析与防御指南 ## 1. SilentCryptoMiner概述 SilentCryptoMiner是一个功能完善的挖矿木马框架，具有以下特点： - 采用C++编写，配套WEB管理平台 - 使用进程注入、rootkit、进程监控等技术隐藏挖矿进程 - 能够长期驻留受害主机 - 原开源项目已被GitHub禁用（原地址：github.com/UnamSanctam/SilentCryptoMiner） **注意**：在GitHub搜索Sile

2025-08-24 05:10:27

一款HW期间使用的免杀钓鱼样本

# 高级免杀钓鱼样本分析与防御教学文档 ## 一、样本概述 ### 1.1 样本基本信息 - **文件名称**: 中国银联考勤信息核对表.rar - **文件大小**: 6,739,934 字节 - **哈希值**: - MD5: A269B0C88AE1410C75034219C7DE34A6 - SHA1: 048B60B9B2858D990F5F5466CD6865FCFBCDF298 - CRC32: D7A56038 ### 1.2 杀毒引擎检测情况 - 腾讯电脑管家

2025-08-24 05:09:22

帆软HSQL二次反序列化利用浅析

# 帆软HSQL二次反序列化利用深度分析 ## 漏洞概述本漏洞影响范围包括2024年5月更新前的帆软Report v10全版本以及FineBi产品。该漏洞利用链通过Druid调用HSQLDB实现RCE（远程代码执行）。在上一大版本中，帆软已封禁主要利用类`java.security.SignedObject`，使得传统的二次反序列化利用方式失效。 ## 黑名单分析黑名单文件位置：`fine-core-10.0.jar!/com/fr/serialization/blacklist.t

2025-08-24 05:08:16

java内存马检测基础方法

# Java内存马检测基础方法 ## 核心思路 1. 利用JDK提供的sa-jdi API基于黑名单dump存在于JVM中的真实字节码 2. 基于ASM框架进行分析 3. 反编译检测 ## sa-jdi的基本使用 ### 1. 通过命令行dump JVM中的class类 ClassDump工具可以设置两个System properties: - `sun.jvm.hotspot.tools.jcore.filter`: Filter的类名 - `sun.jvm.hotspot.tool

2025-08-24 04:57:14

APT组织Patchwork七月活动，Widnows主战远控武器BADNEWS再升级

# APT组织Patchwork的BADNEWS远控木马分析与防御指南 ## 一、背景概述 APT组织Patchwork（又称Dropping Elephant）近期针对国内实体发起攻击活动，使用其主战远控武器BADNEWS。该木马自2021年以来经历了多次迭代升级，最新版本（2024年7月）在通信协议、加解密算法、指令功能、免杀混淆等方面均有显著改进。 ## 二、样本技术分析 ### 2.1 基本信息 - **样本体积**： - 初始载荷：692KB - BADNEWS本体：

2025-08-24 04:55:18

记一次MEMZ样本分析

# MEMZ病毒样本分析教学文档 ## 1. 样本概述 MEMZ病毒（又称彩虹猫病毒）是一个恶搞性质的MBR病毒，主要特点： - 修改MBR主引导扇区，破坏电脑正常启动 - 运行后显示彩虹猫画面并播放音乐 - 采用多进程守护机制防止被终止 - 包含多种恶搞效果（鼠标失控、窗口变形、弹窗等） ## 2. 样本行为分析 ### 2.1 运行表现 - 初始运行显示2个确认提示框 - 弹出记事本程序 - 创建6个MEMZ进程 - 打开多个浏览器窗口 - 鼠标控制失效 - 窗口颜色变化 - 桌面弹

2025-08-24 04:54:14

剖析Cobalt Strike的DLL Stager

# Cobalt Strike DLL Stager 深度分析与教学文档 ## 1. 概述 Cobalt Strike 是一种广泛使用的渗透测试框架，其 DLL Stager 是一种常见的载荷投递方式。本文档将详细剖析 Cobalt Strike DLL Stager 的工作原理、执行流程、技术特点以及防御检测方法。 ## 2. 样本背景 - **攻击目标**：金融部门客户 - **初始向量**：伪装成工作申请的恶意邮件 - **载荷特点**：利用 COM 组件对象模型劫持 (Compo

2025-08-24 04:53:30

KVM循序渐进耳之基础篇

# KVM虚拟化基础入门教程 ## 背景介绍虚拟化技术是现代计算领域的重要技术之一，KVM(Kernel-based Virtual Machine)是Linux内核集成的开源虚拟化解决方案。本教程将从最基础的KVM环境搭建开始，逐步介绍KVM的核心原理和使用方法。 ## 环境准备 ### 操作系统要求 - Linux内核版本：2.6.20或更高（本教程使用2.6.18-419.el5） - 推荐发行版：CentOS 5.0 ### 必要软件包 - KVM 1.0源码：可从Sourc

2025-08-24 04:52:26

如何使用几个简单步骤绕过Defender

# 绕过Windows Defender的详细技术指南 ## 1. AV工作原理概述在深入绕过技术之前，我们需要理解Windows Defender等防病毒软件的基本工作原理： ### 1.1 签名检测 - **基本功能**：将文件或文件部分的哈希值与已知恶意文件数据库比较 - 检测方式： - 整个文件的哈希值匹配 - 特定字节序列或字符串的匹配 - 关键代码段的特征识别 ### 1.2 启发式检测 - 当签名检测不足时使用的高级检测方法 - 工作原理： - 在安全环境

2025-08-24 04:51:38

记一次Office宏样本分析

# Office宏病毒样本分析教学文档 ## 1. 样本概况 ### 1.1 测试环境及工具 - **运行平台**: Windows 7 x64 - **进程监控工具**: ProcessHacker - **调试分析工具**: powershell_ise、Visual Studio 2019 ### 1.2 样本基本信息 - **文件名称**: a474c4ea67fd30e80ca375370d19dd0712997889814c2960d8a41c2856092ce5.doc -

2025-08-24 04:50:48

Linux Kernel Pwn Part 1

# Linux Kernel Pwn 教学文档 - Part 1 ## 内核保护机制 ### 1. Kernel Stack Canaries - 类似于用户空间的栈保护机制 - 内核编译时启用，无法禁用 - 使用`__readgsqword(0x28u)`读取canary值 ### 2. KASLR (Kernel Address Space Layout Randomization) - 类似于用户空间的ASLR - 每次开机随机化内核加载基地址 - 控制方式： - 启用：`-ap

2025-08-24 04:48:40

跳转到页