0x00 前言最近看到一篇微信文章说是可以利用png反弹shell,我还以为图片查看器有什么漏洞,可以在png植入payload然后执行的。最后测试复现不了,然后分析了下ps脚本,原来只是利用了一种图片隐写术,将payload隐藏到png图片里,然后再通过提供的powershell命令去提取png中的payload运行,最后实现了反弹shell,而那篇文……继续阅读 » lz520520 5年前 (2019-10-09) 1261浏览 0个赞
0x00 前言最近听说powershell挖矿又变种了,其实我觉得这个病毒的手法还是蛮高明的,wmi消费事件启动,powershell无文件落地的方式,可以绕过一些杀软的监测,让一些安全小白也无从下手去处理。回想起第一次应急就遇到这个病毒的时候,当时还是小白,对powershell和wmi一脸懵逼,客户说内网老是蓝屏,老是有powershell程序运行,用……继续阅读 » lz520520 5年前 (2019-10-09) 1416浏览 10个赞
下载链接evtxLogparse 更新日志:2019.7.19版本更新至1.3不带路径可自动解析当前系统日志更新详情:原来功能是不变的,如果指定文件路径就解析指定文件。考虑到每次取日志再分析可能会比较繁琐,直接使用如evtxLogparse.exe -r success,即可自动解析当前系统日志。实际上,是将系统安全日志复制到当……继续阅读 » lz520520 5年前 (2019-10-09) 2549浏览 16个赞
首先工具的下载链接如下:lzAntivirus这里我整理了一些病毒的配置文件,如有需要可以下载,把文件名改成settings.txt即可使用。压缩包添加了入站445端口开启和封锁的bat和vbs脚本。2019.4.29更新内容:版本更新至3.6.7.9增加进程/服务/任务计划内容识别模块。增加powershell内容识别模块。优化了日志记录模……继续阅读 » lz520520 5年前 (2019-10-09) 1594浏览 7个赞
0x00 前言最近在学习恶意代码分析实战,了解到了一些隐藏恶意代码启动的方式,这些隐藏方式的学习,对日常的安全应急也起到不少指导作用,回想起原来应急碰到过的一些病毒的隐藏方式,有种豁然开朗的感觉,所以把这段时间学习成果做个总结。主要是介绍各种隐藏方式的实现原理和如何应急处置,不会涉及到代码逆向分析这块,因为主要是为了让大家后面应急提供更多的思路去处置。这……继续阅读 » lz520520 5年前 (2019-10-06) 1113浏览 3个赞
0x00 前言最近刚好看了下shellcode的分析方法,然后就想把之前HW遇到的shellcode拿出来分析一下,一方面检验下自己学习成果,另一方面也和大家分享一下shellcode的一些分析思路吧。这个样本是从客户的一份钓鱼邮件里发现的,伪造成正常邮件,附件为一个嵌入VBA的word文档,如果没有禁用宏的话,打开文档就会触发病毒执行。 0……继续阅读 » lz520520 5年前 (2019-10-06) 873浏览 0个赞
9.25最近看了关于这个msf更新的exp的分析文章,了解到为什么容易蓝屏。简单来说就是由于UAF漏洞IcaChannelInputInternal->IcaFindChannel会返回一个指向的内容已经被释放了的指针,随后有一处间接调用,通过喷射占位让这里的rax寄存器指向我们的shellcode就可以RCE。在windows 7上,非分页内存的……继续阅读 » lz520520 5年前 (2019-10-06) 929浏览 0个赞
文件下载地址:https://static2.ichunqiu.com/icq/resources/fileupload//CTF/JCTF2014/re200下载的文件,首先还是判断是什么格式的,丢进die,有dos头,但识别不出来NT头等其他部分。所以我们可以看下PE头签名是否有问题,这里我们用010 editor里的exe.bt来解析文件。解……继续阅读 » lz520520 5年前 (2019-10-06) 847浏览 3个赞
通常来讲,python如果被编译成exe,一般会使用的工具是pyinstaller,这个的平台移植性比较好,而py2exe这个换个环境就容易出问题。而如果拿到编译成exe的python程序,需要反编译成py文件,那么就可以使用pyinstxtractor.py进行解包,这个脚本可以将exe还原成pyc文件。https://sourceforge.net/……继续阅读 » lz520520 5年前 (2019-10-06) 846浏览 0个赞
0x00 前言emmm,做这个破解主要是因为我自己的010editor因为升级更新,然后授权过期了,现在没法用了,本来想找注册机但发现网上有破解文章,就学习下破解过程。网上针对32位 V9.0的暴力破解,直接修改序列号算法返回值绕过校验,我这里把64位 V9.0.2的也测试了下,可以达到同样的效果,自己动手可以更好的理解这个破解过程,参考文章中可能有些细节……继续阅读 » lz520520 5年前 (2019-10-06) 915浏览 0个赞