ga0weI Blog

由域名前置引出的新的c2通信隐藏技术

记某次交流下，对通过https实现c2通信隐藏技术的原理分析以及技术迭代更新的探讨

0x01 前言：这两天和某位师傅交流c2通信隐藏技术的时候，对于通过https隐藏通信中的https里面sni（server name indiication）的看法出现了一些分歧，于是有了此文，此文是对这个sni在c2通信隐藏技术细节上的一些详细分析，以及对新技术的探讨。首先聊到通信隐藏，还有sni，那么我们先回顾了下域前置技术。 0x02 域前置技术域前置这个技术20、21...

Posted by Ga0weI on March 25, 2025

Windows权限维持_右键维权

记录下windows右键维权实现的学习

0x01 背景最近做一个应急的时候发现一个通过右键文件、文件夹弹出菜单来维权的操作。于是系统的学习了下，并且分析如何排查。 0x02 右键维权原理目前看到互联网上通过右键维权的实现方式大致分为两类： 1、劫持一些第三方软件的右键菜单实现，当用户正常使用的时候触发的任意代码执行操作； 2、自拟一个windows shell拓展，实现右键菜单拓展功能，用户右键的时候触发菜单的初...

Posted by Ga0weI on February 13, 2025

24年年终总结

总结下我的2024，拥抱2025

简单总结下我的24年：感觉今年过的格外的快的，仿佛23年发生的事情还历历在目；转眼间24年就结束了，总结下今年的事情，同时也展望下25年；先回顾下24年年初自己立下的flag： (目标)1、更新30篇BLOG。更新了25篇，本来10月份还以为能够随便完成的，但是11月12月没有保持住更新频率；进度（83%） (目标)2、完成自己的一套远控目前初步勾画了一版，框架以及c...

Posted by Ga0weI on January 14, 2025

一个近期黑产shellcode中惯用的手法

简单记录下一个近期分析发现黑产频繁使用的shellcode中的一个特征

0x01 背景最近分析黑产样本的时候，发现多个黑产家族的的样本中的shellcode都存在一个相同的特征；特征在shellcode中，需要做到无依赖的获取到要使用函数的地址，一般都是通过peb拿到ldr然后拿到dll基址，遍历导出表来获取；在这个遍历过程中，需要一个条件判断来匹配，正常的思路是使用dll名称和函数名称来对比，比如：我要获取kernel32.dll-VirtualA...

Posted by Ga0weI on December 20, 2024

Windows下常见文件隐藏技术实现原理及排查思路

对windows下文件隐藏技术实现方式的分析与汇总，并提供对应场景下的排查思路

0x01 背景在应急响应中，我们经常会遇到攻击者对受害机器做一些文件隐藏和进程隐藏的操作，其目的在于规避一些杀毒软件和对抗后续排查相关应急响应人员的排查，从而驻留在受害机器上；如下梳理了windows下常见的是实现文件隐藏操作的原理，以及如何对抗这些隐藏手段； 0x02 技术实现一、attrib 实现文件隐藏（文件管理系统）原理这种方式的原理在于通过修改文件属性，从而隐藏文...

Posted by Ga0weI on November 4, 2024

Linux下常见Rootkit手段原理分析及排查方法汇总

深入分析linux下常见rootkit手段原理，提供相关排查思路

此文为作者原创，首发于奇安信攻防社区： 0x01 前言本文主要针对黑灰产、以及蠕木僵毒等恶意软件在linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法；从技术实现原理上看，笔者把其常见的rootkit隐藏手段大致分为五大类： 1、通过文件挂载实现隐藏 2、通过用户层劫持链接器或链接库实现隐藏 ...

Posted by Ga0weI on November 4, 2024

借助Windows_WFP静默端上edr等应用

学习windows底层的流量过滤平台在攻防场景中的使用及思考

0x01 背景之前接触到了edr致盲的思路，于是学习了下windows下的WFP的使用；作为windows上底层的网络过滤平台，防火墙、一些防病毒软件、vpn等相关产品都是基于WFP来实现的；最常见的edr致盲手段就是通过防火墙禁止IP、应用来实现，而防火墙其实就就是一个封装好带ui的简易版WFP；所以这里准备直接学习下WFP的原理、开发即使用； 0x02 WFP使用 WFP...

Posted by Ga0weI on October 19, 2024

记一次某红队样本分析_自研C2框架

记录下对某样本（加载器、shellcode）分析过程，总结学习其使用的相关技术

0x01 背景分析了一个比较有意思的样本，通过分析，发现该样本具备较强的免杀能力，并且其制作者应该具备较强的免杀能力以及安全开发能力，分析下来收获不小；有段时间没有更新blog正好也就写篇文章记录下。 0x02 样本基础信息利用微软应用的dll劫持漏洞，白加黑运行 1 2 3 4 5 6 7 8 9 10 黑dll name:mpclient.dll md5:3f88191d...

Posted by Ga0weI on October 15, 2024

微信数据库解密聊天信息获取

学习微信数据的加密原理，以及从进程拿到的加密使用的直接key，从而实现对微信数据的解密获取聊天记录，最后简单写了各聊天查看工具

0x01 前言学习下微信数据库解密备份操作，之前是一直知道这东西能做，也测过几个github上的开源工具，但是没有具体了解怎么找key和微信的数据库加密方式以及结构；于是找了些资料看了下，学习了下；记录的学习过程如下。 0x02 学习过程要想解密，需要拿到的key和数据库文件；拿数据库文件，需要wxid；所以核心就是从进程中拿到的wxid、key、数据库文件路径；一、...