爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

从APC到APC注入

# Windows APC机制与APC注入技术详解 ## 1. APC基础概念 APC（Asynchronous Procedure Calls，异步过程调用）是Windows提供的一种机制，允许在特定线程上下文中异步执行函数。APC分为两种模式： - **用户模式APC**：在用户空间执行 - **内核模式APC**：在内核空间执行 ### 1.1 内核数据结构 APC相关的关键数据结构位于`_KTHREAD`中： ```c struct _KTHREAD { _KAPC_

2025-08-21 11:35:23

免杀基础-常见shellcode执行方式

# Shellcode执行方式全面指南 ## 1. 基础内存分配与执行 ### 1.1 基本内存操作流程 ```c DWORD dwOldProtection; LPVOID lpMem = VirtualAlloc(NULL, sizeof(shellcode), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE); memcpy(lpMem, shellcode, sizeof(shellcode)); VirtualProtect(lpMem, siz

2025-08-21 11:33:50

# RASP从0到1全面指南 ## 1. RASP概述 Runtime Application Self-Protection (RASP)是Gartner在2012年推出的一项安全技术，它通过将安全防护直接集成到应用程序中，实现对应用运行时的全面监控和保护。 ### 1.1 RASP核心特点 - **深度集成**：附加到应用程序内部，部署多个探针实现全面监控 - **实时防护**：保护应用程序免受攻击，保持低误报率和性能开销 - **全面覆盖**：覆盖整个应用堆栈，包括应用程序代码、库、

2025-08-21 11:32:28

哥斯拉流量PHP3种加密方式讲解及PHP_XOR_BASE64爆破密钥思路

# 哥斯拉流量PHP加密方式详解及密钥爆破技术 ## 一、哥斯拉流量识别特征 ### 1. 流量行为特征 - 先上传小马，后上传大马 - 请求头无Cookie，响应头出现Set-Cookie - 后续请求包特征： - Cookie尾部有分号（强特征） - 请求体前后有16位固定数字 - Accept字段为：`Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8`（弱特征

2025-08-21 11:30:12

安卓逆向入门全面解析入口点定位,资源文件,四大组件,native,java层逆向(带实战例题)

# Android逆向工程全面入门指南 ## 第一章：引言与背景 Android逆向工程是通过分析应用程序的代码、资源和行为来理解其功能、结构和潜在安全问题的技术。本指南将全面介绍Android逆向工程的基础知识和实践技巧。 ### 学习目标 - APK逆向工具的使用 - APK基本结构解析 - Android逆向分析基础 - 程序入口点定位 - 加壳识别与简单脱壳 - 页面布局文件识别 - 按钮函数绑定分析 - 资源文件查找 - Java层与Native层逆向 - 四大组件在逆向中的应用

2025-08-21 11:18:42

初探webshell免杀的艺术

# PHP Webshell免杀技术详解 ## 一、PHP混淆加密技术 ### 1. PHPFuck混淆 PHPFuck是一种极端的PHP混淆技术，使用极少的字符构造可执行代码： ```php name; $a = $_POST['x']; echo $b; echo $a; $a('', $b); } public function __construct($name) { $

2025-08-21 11:17:45

【免杀技术】致盲组件 - AMSI内存修复（修改一个字节就能绕过AMSI？）

# AMSI内存修复绕过技术详解 ## 1. AMSI简介 AMSI (Antimalware Scan Interface) 是微软开发的反病毒组件，用于扫描特殊攻击面。AMSI接口会将扫描结果提供给杀毒软件，最终由杀软处理恶意事件。 ### 主要AMSI API函数 | 函数名称 | 说明 | |---------|------| | AmsiCloseSession | 关闭由AmsiOpenSession打开的会话 | | AmsiInitialize | 初始化AMSI API

2025-08-21 11:16:00

绕过App某加密企业版加固Frida检测

# 绕过App企业版加固Frida检测技术分析 ## 0x00 测试环境 - **设备**: Pixel 3 - **Android版本**: 12 - **面具版本**: Magisk Delta 26.4-kitsune(26400) ## 0x01 目标应用 - 某App最新版本(24年9月最新版本) - 使用某加密企业版加固 ## 0x02 检测机制分析 ### Root检测分析 App的root检测主要在Java代码层面实现，主要检测以下路径： ``` /system/x

2025-08-21 11:15:13

伪装成Chrome安装程序传播银狐最新变种

# 银狐恶意软件变种分析教学文档 ## 一、样本概述 - **伪装形式**：样本伪装成Chrome浏览器的MSI安装程序 - **传播方式**：通过伪装的正规软件安装包传播 - **恶意模块特征**： - 使用"增肥"技术（在DATA段加入大量垃圾数据） - 带有无效数字签名 - 模块大小达200MB-400MB ## 二、技术分析 ### 1. 初始感染阶段 1. **MSI安装程序分析**： - 包含CustomAction安装脚本 - 调用恶意模块的导出函

2025-08-21 11:14:07

传统Office结构下的后门和利用手段解析

# Office文档恶意代码植入技术解析 ## 前言本文深入解析攻击者利用Office文档传递恶意代码的各种技术手段，包括分阶段和无阶段的实现方式，以及如何在OpenXML结构中隐藏恶意负载。这些技术虽然基础，但在实际攻击中仍被广泛使用。 ## 典型payload传输策略 ### 1. 从网络获取payload（分阶段） **优点**：灵活可控，可随时更换payload **缺点**：网络请求易被检测 #### 实现方式： **Microsoft.XMLHTTP方法**： `

2025-08-21 11:13:25

cJSON库函数存在的堆溢出漏洞分析

# cJSON库堆溢出漏洞分析与利用教学 ## 1. 漏洞概述 cJSON是一个轻量级的C语言JSON解析库，用于解析和生成JSON数据。在解析字符串时，`parse_string`函数存在堆溢出漏洞，攻击者可以通过精心构造的JSON数据触发该漏洞，实现内存破坏。 ## 2. 漏洞原理分析 ### 2.1 cJSON_Parse函数流程 ```c cJSON * cJSON_Parse(const char *value) { return cJSON_ParseWithOpt

2025-08-21 11:12:09

Sekiro+Yakit 热加载无痛绕sign

# Sekiro与Yakit热加载无痛绕Sign技术详解 ## 1. 背景与问题概述在Web安全与逆向工程中，经常会遇到需要绕过签名验证(sign)的场景。传统方法需要完整分析加密算法并还原加密链，但面临以下挑战： - 多层加密或自研算法 - 代码混淆严重 - 算法复杂度高 - 存在反调试机制(如无限debugger) 本文介绍基于Sekiro框架和Yakit热加载技术的无痛绕签方案，无需完全理解算法细节即可实现签名绕过。 ## 2. 技术原理 ### 2.1 JSRPC技术 JS

2025-08-21 11:11:06

跳转到页