ga0weI Blog

「纸上得来终觉浅」

某大厂红队钓鱼样本分析

某大厂红队样本分析,域前置玩出新花样

0x01 前言 好久没更新blog,简单记录下前两天分析的一个某大厂红队做的钓鱼马; 0x02 样本分析 1 2 3 4 5 6 7 8 样本:《故障信息.rar》 md5:b51c0f4492538e3a7302e8f13aa3642a 解压 pwd:comac 释放一个伪装为doc的快捷方式,和一个影藏文件夹``_init_`` 名称:《商飞系统故障信息.docx....

Posted by Ga0weI on July 15, 2024

ELK日志分析本地环境搭建

记录本地搭建、破解ELK环境的过程和踩的坑

0x01 简介 搭建一个elk环境,分析日志 准备两个虚拟机: ubantu 22:搭建elasticsearch、kibana、fleet windows10:配置elastic_agent采集系统、应用、安全日志,安装sysmon采集日志 0x02 环境搭建及使用 1、操作系统 ubantu 官网下载即可: 这里使用的是22.04版本 https://mirror.ny...

Posted by Ga0weI on June 18, 2024

一次样本分析过程中的免杀shellcode分析

简单分析一个免杀的shellcode

0x01 背景 某次样本分析过程种提出的shellcode,静态没有被wd和相关是杀软杀,简单看下其实现以及免杀的点: 0x02 分析 一、shellcode 从样本中提取的shellcode: 1 2 shellcode = "6UMEAADMzMxIi8RIiVgISIloEEiJcBhIiXggQVZIg+wgSGNBPEyLyUmL2IuMCIgAAACL6oXJdGpCg...

Posted by Ga0weI on June 3, 2024

记一次对pyc反编译还原问题的分析

分析并解决uncompyle6、pycdc等反编译工具处理长字节数组出现问题

0x01 背景 上周分析一个pyinstaller打包的样本的时候遇到了一个pyc反编译成py文件的问题,使用开源的反编译工具(如:uncompyle6、pycdc等)都解决不了,后续通过学习pyc文件结构以及cpython虚拟机指令配合调试uncompyle6源码成功解决,并且发现基本所有的开源py反编译工具都存在这个问题;使我对py反编译、以及cpython虚拟机指令有了一定的了解,比...

Posted by Ga0weI on May 31, 2024

一次应急引发的VipersoftX窃密木马变种分析

VipersoftX窃密木马变种技战法分析

0x01 背景 前两周处理一个应急的时候发现的一个VipersoftX变种,并且整个分析过程还算闭环,所以记录下; 0x02 分析过程: 通过外联域名bideo-schnellvpn,初步判断是VenomSoftX窃密木马活动事件,并且受害机器在ids设备上触发了大量普通远控木马和窃密木马事件,大概率存在样本; 安装sysmon 收集日志; 通过sysmon日志 找到外联进程及相关...

Posted by Ga0weI on May 22, 2024

有意思的事情_Base64编码首位分析

记一次有趣的base64编码分析

0x01 背景 前两天遇到一个解码的问题觉得比较有意思,记录下; 之前对这个方面都没关注过,但是个人觉得这个是一个非常强大的软技能,梳理清楚之后可以提高个人对数据的敏感度。 当时待解码的内容如下: 1 PayLoad(1135)=0b21JZD0ma253bGdEZXRhaWw9JTdCJTIyc2VhcmNoVGl0bGVUeXBlTm0lMjIlM0ElMjIlRTUlODUlQ...

Posted by Ga0weI on May 21, 2024

windows文件隐藏技术

分析windows下实现文件隐藏的一些技术手段,并给出排查思路

0x01 背景 在应急响应中,我们经常会遇到攻击者对受害机器做一些文件隐藏和进程隐藏的操作,其目的在于规避一些杀毒软件和对抗后续排查相关应急响应人员的排查,从而驻留在受害机器上;如下梳理了windows下常见的是实现文件隐藏操作的原理,以及如何对抗这些隐藏手段; 0x02 技术实现 一、attrib 实现文件隐藏(文件管理系统) 原理 这种方式的原理在于通过修改文件属性,从而隐藏文...

Posted by Ga0weI on May 7, 2024

Windows驱动开发-强杀进程

借助r0层Ntoskrl.exe!ZwTerminateProcess强杀进程

0x01 背景 前段事件应急的时候查一个windows Rootkit的时候,涉及到一个驱动过滤隐藏技术,准备学习下如何做的,奈何之前没接触过驱动开发,之前其实也有很多场景涉及到驱动开发的,比如之前做免杀的时候做的时候做的非常有限只能在r3层操作,但是很多终端安全防护软件其实都在r0层挂载了一些驱动来失陷一些检测功能,导致r3层做的一些免杀绕不开驱动的监测,所以这里借机就学习了下驱动开发技术...

Posted by Ga0weI on March 21, 2024

FakePPID原理及其检测对抗技术

windows下父进程伪造技术原理分析

0x01 前言 之前学习FakePPID的时候写的一些东西,昨天写关于R77那个项目的使用的技术的时候提到了,特此更新到blog上; 0x02 原理 Windows触发UAC创建进程的过程中,我们可以知道实际上高权限的进程是由consent.exe进程创建的,但实际上父进程并非指向consent.exe,而是指向UAC发起者的进程ID,这里其实就涉及父进程指定的问题了; 触发UAC的...

Posted by Ga0weI on March 13, 2024

r77Rootkit原理分析

R3层Windows RootKit:r77项目源码解读和技术分析相关

0x01 背景 前两周的时候一次应急中遇到了攻击者使用的windows rookit技术,虽然最后排查出来的结果是通过注册系统文件过滤驱动去做的文件隐藏;排查的过程中有师傅把这个项目丢出来了,说怀疑是使用这个项目做的(https://github.com/bytecode77/r77-rootkit),这个项目之前23年4、5月份的时候有师傅给我推荐看来着,后来忙着忙着把这个事情忘记,就不了...

Posted by Ga0weI on March 12, 2024

FEATURED TAGS
免杀 windows 代码 应急 逆向 BypassUAC 样本分析 隐藏 shellcode 心得 进程属性伪造 Rootkit dllHijack 内核 影藏 权限维持 编码 ELK R3 winapi hook/unhook
ABOUT ME

纸上得来终觉浅

FRIENDS