ga0weI Blog

「纸上得来终觉浅」

一次应急引发的VipersoftX窃密木马变种分析

VipersoftX窃密木马变种技战法分析

0x01 背景 前两周处理一个应急的时候发现的一个VipersoftX变种,并且整个分析过程还算闭环,所以记录下; 0x02 分析过程: 通过外联域名bideo-schnellvpn,初步判断是VenomSoftX窃密木马活动事件,并且受害机器在ids设备上触发了大量普通远控木马和窃密木马事件,大概率存在样本; 安装sysmon 收集日志; 通过sysmon日志 找到外联进程及相关...

Posted by Ga0weI on May 22, 2024

有意思的事情_Base64编码首位分析

记一次有趣的base64编码分析

0x01 背景 前两天遇到一个解码的问题觉得比较有意思,记录下; 之前对这个方面都没关注过,但是个人觉得这个是一个非常强大的软技能,梳理清楚之后可以提高个人对数据的敏感度。 当时待解码的内容如下: 1 PayLoad(1135)=0b21JZD0ma253bGdEZXRhaWw9JTdCJTIyc2VhcmNoVGl0bGVUeXBlTm0lMjIlM0ElMjIlRTUlODUlQ...

Posted by Ga0weI on May 21, 2024

windows文件隐藏技术

分析windows下实现文件隐藏的一些技术手段,并给出排查思路

0x01 背景 在应急响应中,我们经常会遇到攻击者对受害机器做一些文件隐藏和进程隐藏的操作,其目的在于规避一些杀毒软件和对抗后续排查相关应急响应人员的排查,从而驻留在受害机器上;如下梳理了windows下常见的是实现文件隐藏操作的原理,以及如何对抗这些隐藏手段; 0x02 技术实现 一、attrib 实现文件隐藏(文件管理系统) 原理 这种方式的原理在于通过修改文件属性,从而隐藏文...

Posted by Ga0weI on May 7, 2024

Windows驱动开发-强杀进程

借助r0层Ntoskrl.exe!ZwTerminateProcess强杀进程

0x01 背景 前段事件应急的时候查一个windows Rootkit的时候,涉及到一个驱动过滤隐藏技术,准备学习下如何做的,奈何之前没接触过驱动开发,之前其实也有很多场景涉及到驱动开发的,比如之前做免杀的时候做的时候做的非常有限只能在r3层操作,但是很多终端安全防护软件其实都在r0层挂载了一些驱动来失陷一些检测功能,导致r3层做的一些免杀绕不开驱动的监测,所以这里借机就学习了下驱动开发技术...

Posted by Ga0weI on March 21, 2024

FakePPID原理及其检测对抗技术

windows下父进程伪造技术原理分析

0x01 前言 之前学习FakePPID的时候写的一些东西,昨天写关于R77那个项目的使用的技术的时候提到了,特此更新到blog上; 0x02 原理 Windows触发UAC创建进程的过程中,我们可以知道实际上高权限的进程是由consent.exe进程创建的,但实际上父进程并非指向consent.exe,而是指向UAC发起者的进程ID,这里其实就涉及父进程指定的问题了; 触发UAC的...

Posted by Ga0weI on March 13, 2024

r77Rootkit原理分析

R3层Windows RootKit:r77项目源码解读和技术分析相关

0x01 背景 前两周的时候一次应急中遇到了攻击者使用的windows rookit技术,虽然最后排查出来的结果是通过注册系统文件过滤驱动去做的文件隐藏;排查的过程中有师傅把这个项目丢出来了,说怀疑是使用这个项目做的(https://github.com/bytecode77/r77-rootkit),这个项目之前23年4、5月份的时候有师傅给我推荐看来着,后来忙着忙着把这个事情忘记,就不了...

Posted by Ga0weI on March 12, 2024

个人感想-舍得

看透取舍,减少内耗

最近感觉自己的记忆力越来越不好了,但是却并不觉得是自己的记性变差了,反而我开始觉得人本来能记住的东西的最大容限就是有限的,类似一个渐进曲线的图,随着x的增加,y也会一直增加,但是增加的会越来越慢,并且存在一个极限。有时候会不禁回想之前,不免感叹,高三可能是自己的知识巅峰,也有时候会感叹刚入行一两年的时候时巅峰,记得当时夜以继日的学习,代码审计密码学以及一堆算数基础等,感觉如今对之前做过的内容...

Posted by Ga0weI on January 25, 2024

JSP畸形unicode编码免杀原理

动态调试Tomcat分析jsp的解析过程

0x01 前言 前两天从一线反馈来了一个jsp的马,马内容都是unicode编码的,但是是一些畸形的unicode编码,内容如下: 这里解码不难直接,正则匹配\\u.*?\d或u+拿到重叠的u,替换成\u形式就行,然后正常unicode解码就行,如下: 替换解码后:是一个冰蝎 但是令我好奇的是为什么,java web应用能对这种格式的编码进行兼容解析。 所以准备调试tomcat为例...

Posted by Ga0weI on January 18, 2024

FEATURED TAGS
免杀 代码 windows 应急 逆向 隐藏 BypassUAC 样本分析 shellcode 进程属性伪造 Rootkit dllHijack 内核 影藏 编码 ELK R3 winapi hook/unhook
ABOUT ME

纸上得来终觉浅

FRIENDS