ga0weI Blog

「纸上得来终觉浅」

FakePPID原理及其检测对抗技术

windows下父进程伪造技术原理分析

0x01 前言 之前学习FakePPID的时候写的一些东西,昨天写关于R77那个项目的使用的技术的时候提到了,特此更新到blog上; 0x02 原理 Windows触发UAC创建进程的过程中,我们可以知道实际上高权限的进程是由consent.exe进程创建的,但实际上父进程并非指向consent.exe,而是指向UAC发起者的进程ID,这里其实就涉及父进程指定的问题了; 触发UAC的...

Posted by Ga0weI on March 13, 2024

r77Rootkit原理分析

R3层Windows RootKit:r77项目源码解读和技术分析相关

0x01 背景 前两周的时候一次应急中遇到了攻击者使用的windows rookit技术,虽然最后排查出来的结果是通过注册系统文件过滤驱动去做的文件隐藏;排查的过程中有师傅把这个项目丢出来了,说怀疑是使用这个项目做的(https://github.com/bytecode77/r77-rootkit),这个项目之前23年4、5月份的时候有师傅给我推荐看来着,后来忙着忙着把这个事情忘记,就不了...

Posted by Ga0weI on March 12, 2024

个人感想-舍得

看透取舍,减少内耗

最近感觉自己的记忆力越来越不好了,但是却并不觉得是自己的记性变差了,反而我开始觉得人本来能记住的东西的最大容限就是有限的,类似一个渐进曲线的图,随着x的增加,y也会一直增加,但是增加的会越来越慢,并且存在一个极限。有时候会不禁回想之前,不免感叹,高三可能是自己的知识巅峰,也有时候会感叹刚入行一两年的时候时巅峰,记得当时夜以继日的学习,代码审计密码学以及一堆算数基础等,感觉如今对之前做过的内容...

Posted by Ga0weI on January 25, 2024

JSP畸形unicode编码免杀原理

动态调试Tomcat分析jsp的解析过程

0x01 前言 前两天从一线反馈来了一个jsp的马,马内容都是unicode编码的,但是是一些畸形的unicode编码,内容如下: 这里解码不难直接,正则匹配\\u.*?\d或u+拿到重叠的u,替换成\u形式就行,然后正常unicode解码就行,如下: 替换解码后:是一个冰蝎 但是令我好奇的是为什么,java web应用能对这种格式的编码进行兼容解析。 所以准备调试tomcat为例...

Posted by Ga0weI on January 18, 2024

FEATURED TAGS
免杀 windows 代码 应急 逆向 BypassUAC 样本分析 隐藏 shellcode 心得 权限维持 进程属性伪造 Rootkit dllHijack 内核 影藏 编码 ELK R3 winapi hook/unhook RootKit
ABOUT ME

纸上得来终觉浅

FRIENDS