ga0weI Blog

「纸上得来终觉浅」

有意思的windows_pe签名及校验机制

深入分析下遇到的关于windows_pe签名的一个有意思技术

0x01 背景 最近工作上遇到了关于windows签名的校验机制的一个有意思的技术。 可以在不影响一个已签名文件的签名有效性的情况下,通过修改文件的特殊位置来使其hash变动。 之前我一直以为windows的签名机制是对整个可执行文件(直接或者间接,间接比如对整个文件的hash进行签名,效果都一样,都是为了保证完整性),也就是说如果我们修改了pe文件,那么其签名一定会校验失败,哪怕是一...

Posted by Ga0weI on July 13, 2025

RPC学习与测试

对rpc接口调用进行学习与开发落地测试,利用rpc ITaskSchedulerService接口创建计划任务

0x01 前言 背景 逆向分析相关样本的时候,经常看到有一些通过rpc实现相关目的的操作,从而绕过一些edr的监测,于是准备稍加学习下相关内容。 RPC介绍 RPC(Remote Produce Call)远程过程调用,在windows上是(远程)进程间通信的机制,其使用的协议一般分为两种,发送Local请求时使用ncalrpc协议,发送Remote请求时使用ncacn_ip_tcp...

Posted by Ga0weI on June 30, 2025

利用windows线程池管理机制实现的远程进程注入

从一次黑灰产分析引出的对 “利用windows线程池管理机制实现远程进程注入的技术手段” 的学习与刨析

0x01 前言 4月份的时候分析一个黑灰产相关性质组织的样本的时候,发现其使用了一个比较新颖的远程进程注入方法,之前没遇到过,现在回过头来记录下(本来预取是5月份找时间更新的到blog的,但是5月的时候辞职了换了工作,跨城市搬家看房租房以及熟悉新环境,相关打点比较消耗精力,就没有写,最近端午放假调整休息的时候补上),当时主要从应用层底层调试以及sysmon行为上都没看到其调用常规的远程进程...

Posted by Ga0weI on June 3, 2025

离京前的感想

我的5年北漂生活

我的5年北漂生活 终于还是等到这天了,要离开北京了,我还记得大致五年前,一个对北京以及新工作满怀期望的大四少年,拿着QAX的实习offer和一个同学(这个同学最后毕业去到我故乡市里就业了,就感觉挺神奇的)赶赴北京。 出入北京 我甚至还清清楚楚的记得当时我们第一天到北京入住酒店,以及当天晚上一起吃了个牛肉面,印象最深刻就是吃了个非常朴素的牛肉面(基本没有牛肉)花了二大几块,觉得简直是天价...

Posted by Ga0weI on May 20, 2025

有意思的玩游戏感想

游戏可以映射人生,人生何尝又不是一场游戏,茫茫宇宙,游戏人生

玩云顶-金铲铲感悟 背景 前两天的女朋友在闺蜜的带领下开始玩金铲铲了,每天沉浸在金铲铲里面,哪怕把把老七老八出局,也是乐此不疲(我发现女生都有一些收集和养成的癖好,金铲铲就带点这种特性,让人上瘾,你总觉得这把没玩好,又或者怪发牌员没发好牌给你,下把一定更好。),还怪我为什么不早点教他玩,我其实没怎么玩过手机上的金铲铲,但是平时和几个朋友偶尔会在电脑上玩玩云顶,下下棋,差不多吧。 然后她...

Posted by Ga0weI on May 19, 2025

记25年3-4月份银狐活动样本分析

一次比较有意思也比较全面的银狐样本分析

0x01 背景 4月份的时候分析了个银狐样本,该样本使用少见的4阶段加载,同时终阶载荷也在持久化和隐藏上做了比较复杂的相关操作,并且利用了一些比较少见的技术用以绕过一些edr,比较有意思,详细记录下相关分析过程。 如下是分析过来,笔者梳理其相关流程逻辑图: 1-4阶段加载图: 最终载荷释放流程图: 相关情况 样本: 1 2 3 4 5 name:vulkan-1.dll...

Posted by Ga0weI on May 13, 2025

由域名前置引出的新的c2通信隐藏技术

记某次交流下,对通过https实现c2通信隐藏技术的原理分析以及技术迭代更新的探讨

0x01 前言: 这两天和某位师傅交流c2通信隐藏技术的时候,对于通过https隐藏通信中的https里面sni(server name indiication)的看法出现了一些分歧,于是有了此文,此文是对这个sni在c2通信隐藏技术细节上的一些详细分析,以及对新技术的探讨。 首先聊到通信隐藏,还有sni,那么我们先回顾了下域前置技术。 0x02 域前置技术 域前置这个技术20、21...

Posted by Ga0weI on March 25, 2025

Windows权限维持_右键维权

记录下windows右键维权实现的学习

0x01 背景 最近做一个应急的时候发现一个通过 右键文件、文件夹弹出菜单来维权的操作。于是系统的学习了下,并且分析如何排查。 0x02 右键维权原理 目前看到互联网上通过右键维权的实现方式大致分为两类: 1、劫持一些第三方软件的右键菜单实现,当用户正常使用的时候触发的任意代码执行操作; 2、自拟一个windows shell拓展,实现右键菜单拓展功能, 用户右键的时候触发菜单的初...

Posted by Ga0weI on February 13, 2025

24年年终总结

总结下我的2024,拥抱2025

简单总结下我的24年: 感觉今年过的格外的快的,仿佛23年发生的事情还历历在目;转眼间24年就结束了,总结下今年的事情,同时也展望下25年; 先回顾下24年年初自己立下的flag: (目标)1、更新30篇BLOG。 更新了25篇,本来10月份还以为能够随便完成的,但是11月12月没有保持住更新频率; 进度(83%) (目标)2、完成自己的一套远控 目前初步勾画了一版,框架以及c...

Posted by Ga0weI on January 14, 2025

一个近期黑产shellcode中惯用的手法

简单记录下一个近期分析发现黑产频繁使用的shellcode中的一个特征

0x01 背景 最近分析黑产样本的时候,发现多个黑产家族的的样本中的shellcode都存在一个相同的特征; 特征 在shellcode中,需要做到无依赖的获取到要使用函数的地址,一般都是通过peb拿到ldr然后拿到dll基址,遍历导出表来获取;在这个遍历过程中,需要一个条件判断来匹配,正常的思路是使用dll名称和函数名称来对比,比如:我要获取kernel32.dll-VirtualA...

Posted by Ga0weI on December 20, 2024

FEATURED TAGS
免杀 windows 代码 应急 逆向 BypassUAC 样本分析 隐藏 shellcode 心得 权限维持 进程属性伪造 Rootkit dllHijack 内核 影藏 编码 ELK R3 winapi hook/unhook RootKit
ABOUT ME

纸上得来终觉浅

FRIENDS