ga0weI Blog

利用windows线程池管理机制实现的远程进程注入

从一次黑灰产分析引出的对 “利用windows线程池管理机制实现远程进程注入的技术手段” 的学习与刨析

0x01 前言 4月份的时候分析一个黑灰产相关性质组织的样本的时候，发现其使用了一个比较新颖的远程进程注入方法，之前没遇到过，现在回过头来记录下（本来预取是5月份找时间更新的到blog的，但是5月的时候辞职了换了工作，跨城市搬家看房租房以及熟悉新环境，相关打点比较消耗精力，就没有写，最近端午放假调整休息的时候补上），当时主要从应用层底层调试以及sysmon行为上都没看到其调用常规的远程进程...

Posted by Ga0weI on June 3, 2025

离京前的感想

我的5年北漂生活

我的5年北漂生活终于还是等到这天了，要离开北京了，我还记得大致五年前，一个对北京以及新工作满怀期望的大四少年，拿着QAX的实习offer和一个同学（这个同学最后毕业去到我故乡市里就业了，就感觉挺神奇的）赶赴北京。出入北京我甚至还清清楚楚的记得当时我们第一天到北京入住酒店，以及当天晚上一起吃了个牛肉面，印象最深刻就是吃了个非常朴素的牛肉面（基本没有牛肉）花了二大几块，觉得简直是天价...

Posted by Ga0weI on May 20, 2025

有意思的玩游戏感想

游戏可以映射人生，人生何尝又不是一场游戏，茫茫宇宙，游戏人生

玩云顶-金铲铲感悟背景前两天的女朋友在闺蜜的带领下开始玩金铲铲了，每天沉浸在金铲铲里面，哪怕把把老七老八出局，也是乐此不疲（我发现女生都有一些收集和养成的癖好，金铲铲就带点这种特性，让人上瘾，你总觉得这把没玩好，又或者怪发牌员没发好牌给你，下把一定更好。），还怪我为什么不早点教他玩，我其实没怎么玩过手机上的金铲铲，但是平时和几个朋友偶尔会在电脑上玩玩云顶，下下棋，差不多吧。然后她...

Posted by Ga0weI on May 19, 2025

记25年3-4月份银狐活动样本分析

一次比较有意思也比较全面的银狐样本分析

0x01 背景 4月份的时候分析了个银狐样本，该样本使用少见的4阶段加载，同时终阶载荷也在持久化和隐藏上做了比较复杂的相关操作，并且利用了一些比较少见的技术用以绕过一些edr，比较有意思，详细记录下相关分析过程。如下是分析过来，笔者梳理其相关流程逻辑图： 1-4阶段加载图：最终载荷释放流程图：相关情况样本： 1 2 3 4 5 name:vulkan-1.dll...

Posted by Ga0weI on May 13, 2025

由域名前置引出的新的c2通信隐藏技术

记某次交流下，对通过https实现c2通信隐藏技术的原理分析以及技术迭代更新的探讨

0x01 前言：这两天和某位师傅交流c2通信隐藏技术的时候，对于通过https隐藏通信中的https里面sni（server name indiication）的看法出现了一些分歧，于是有了此文，此文是对这个sni在c2通信隐藏技术细节上的一些详细分析，以及对新技术的探讨。首先聊到通信隐藏，还有sni，那么我们先回顾了下域前置技术。 0x02 域前置技术域前置这个技术20、21...

Posted by Ga0weI on March 25, 2025

Windows权限维持_右键维权

记录下windows右键维权实现的学习

0x01 背景最近做一个应急的时候发现一个通过右键文件、文件夹弹出菜单来维权的操作。于是系统的学习了下，并且分析如何排查。 0x02 右键维权原理目前看到互联网上通过右键维权的实现方式大致分为两类： 1、劫持一些第三方软件的右键菜单实现，当用户正常使用的时候触发的任意代码执行操作； 2、自拟一个windows shell拓展，实现右键菜单拓展功能，用户右键的时候触发菜单的初...

Posted by Ga0weI on February 13, 2025

24年年终总结

总结下我的2024，拥抱2025

简单总结下我的24年：感觉今年过的格外的快的，仿佛23年发生的事情还历历在目；转眼间24年就结束了，总结下今年的事情，同时也展望下25年；先回顾下24年年初自己立下的flag： (目标)1、更新30篇BLOG。更新了25篇，本来10月份还以为能够随便完成的，但是11月12月没有保持住更新频率；进度（83%） (目标)2、完成自己的一套远控目前初步勾画了一版，框架以及c...

Posted by Ga0weI on January 14, 2025

一个近期黑产shellcode中惯用的手法

简单记录下一个近期分析发现黑产频繁使用的shellcode中的一个特征

0x01 背景最近分析黑产样本的时候，发现多个黑产家族的的样本中的shellcode都存在一个相同的特征；特征在shellcode中，需要做到无依赖的获取到要使用函数的地址，一般都是通过peb拿到ldr然后拿到dll基址，遍历导出表来获取；在这个遍历过程中，需要一个条件判断来匹配，正常的思路是使用dll名称和函数名称来对比，比如：我要获取kernel32.dll-VirtualA...

Posted by Ga0weI on December 20, 2024

Windows下常见文件隐藏技术实现原理及排查思路

对windows下文件隐藏技术实现方式的分析与汇总，并提供对应场景下的排查思路

0x01 背景在应急响应中，我们经常会遇到攻击者对受害机器做一些文件隐藏和进程隐藏的操作，其目的在于规避一些杀毒软件和对抗后续排查相关应急响应人员的排查，从而驻留在受害机器上；如下梳理了windows下常见的是实现文件隐藏操作的原理，以及如何对抗这些隐藏手段； 0x02 技术实现一、attrib 实现文件隐藏（文件管理系统）原理这种方式的原理在于通过修改文件属性，从而隐藏文...

Posted by Ga0weI on November 4, 2024

Linux下常见Rootkit手段原理分析及排查方法汇总

深入分析linux下常见rootkit手段原理，提供相关排查思路

此文为作者原创，首发于奇安信攻防社区： 0x01 前言本文主要针对黑灰产、以及蠕木僵毒等恶意软件在linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法；从技术实现原理上看，笔者把其常见的rootkit隐藏手段大致分为五大类： 1、通过文件挂载实现隐藏 2、通过用户层劫持链接器或链接库实现隐藏 ...