Archive

「纸上得来终觉浅」
2025

由域名前置引出的新的c2通信隐藏技术

记某次交流下,对通过https实现c2通信隐藏技术的原理分析以及技术迭代更新的探讨

Windows权限维持_右键维权

记录下windows右键维权实现的学习

24年年终总结

总结下我的2024,拥抱2025

2024

一个近期黑产shellcode中惯用的手法

简单记录下一个近期分析发现黑产频繁使用的shellcode中的一个特征

Linux下常见Rootkit手段原理分析及排查方法汇总

深入分析linux下常见rootkit手段原理,提供相关排查思路

Windows下常见文件隐藏技术实现原理及排查思路

对windows下文件隐藏技术实现方式的分析与汇总,并提供对应场景下的排查思路

借助Windows_WFP静默端上edr等应用

学习windows底层的流量过滤平台在攻防场景中的使用及思考

微信数据库解密聊天信息获取

学习微信数据的加密原理,以及从进程拿到的加密使用的直接key,从而实现对微信数据的解密获取聊天记录,最后简单写了各聊天查看工具

记一次某红队样本分析_自研C2框架

记录下对某样本(加载器、shellcode)分析过程,总结学习其使用的相关技术

UAC流程及提权原理分析

windows的UAC机制学习、绕过利用原理分析及检测思路落地

忆往昔-忆往昔_JAVA内存马的一生

记录常见java内存马实现原理以及一些检测和反检测思路

BypssUAC_com组件CMSTPLUA_ICMLuaUtil接口提权

UACME_41技术分析,利用进程伪装+CMSTPLUA组件任意ICMLuaUtil命令执行接口绕过UAC

BypassUAC_fodhelper进程Registry-Shell_Open_Command提权

UACME_33技术分析,利用fodhelper依赖HKCU低权限注册表shell-open-command绕过UAC

忆往昔-记一次(白加黑dll劫持+域名前置)样本分析

通过一个样本来看dll劫持和域名前置

BypassUAC 白名单_PkgMgr_DLL劫持

UACME_23技术分析,利用IFileOperation+白名单+dll劫持绕过UAC

BypassUAC_IFileOperation越权写文件

BypassUAC借助com接口对可信程序的校验漏洞调用com接口越权写文件

某大厂红队钓鱼样本分析

某大厂红队样本分析,域前置玩出新花样

ELK日志分析本地环境搭建

记录本地搭建、破解ELK环境的过程和踩的坑

一次样本分析过程中的免杀shellcode分析

简单分析一个免杀的shellcode

记一次对pyc反编译还原问题的分析

分析并解决uncompyle6、pycdc等反编译工具处理长字节数组出现问题

一次应急引发的VipersoftX窃密木马变种分析

VipersoftX窃密木马变种技战法分析

有意思的事情_Base64编码首位分析

记一次有趣的base64编码分析

windows文件隐藏技术

分析windows下实现文件隐藏的一些技术手段,并给出排查思路

Windows驱动开发-强杀进程

借助r0层Ntoskrl.exe!ZwTerminateProcess强杀进程

FakePPID原理及其检测对抗技术

windows下父进程伪造技术原理分析

r77Rootkit原理分析

R3层Windows RootKit:r77项目源码解读和技术分析相关

个人感想-舍得

看透取舍,减少内耗

JSP畸形unicode编码免杀原理

动态调试Tomcat分析jsp的解析过程