ga0weI Blog

「纸上得来终觉浅」

Windows驱动开发-强杀进程

借助r0层Ntoskrl.exe!ZwTerminateProcess强杀进程

0x01 背景前段事件应急的时候查一个windows Rootkit的时候，涉及到一个驱动过滤隐藏技术，准备学习下如何做的，奈何之前没接触过驱动开发，之前其实也有很多场景涉及到驱动开发的，比如之前做免杀的时候做的时候做的非常有限只能在r3层操作，但是很多终端安全防护软件其实都在r0层挂载了一些驱动来失陷一些检测功能，导致r3层做的一些免杀绕不开驱动的监测，所以这里借机就学习了下驱动开发技术...

Posted by Ga0weI on March 21, 2024

FakePPID原理及其检测对抗技术

windows下父进程伪造技术原理分析

0x01 前言之前学习FakePPID的时候写的一些东西，昨天写关于R77那个项目的使用的技术的时候提到了，特此更新到blog上； 0x02 原理 Windows触发UAC创建进程的过程中,我们可以知道实际上高权限的进程是由consent.exe进程创建的，但实际上父进程并非指向consent.exe，而是指向UAC发起者的进程ID，这里其实就涉及父进程指定的问题了；触发UAC的...

Posted by Ga0weI on March 13, 2024

r77Rootkit原理分析

R3层Windows RootKit:r77项目源码解读和技术分析相关

0x01 背景前两周的时候一次应急中遇到了攻击者使用的windows rookit技术，虽然最后排查出来的结果是通过注册系统文件过滤驱动去做的文件隐藏；排查的过程中有师傅把这个项目丢出来了，说怀疑是使用这个项目做的（https://github.com/bytecode77/r77-rootkit），这个项目之前23年4、5月份的时候有师傅给我推荐看来着，后来忙着忙着把这个事情忘记，就不了...

Posted by Ga0weI on March 12, 2024

个人感想-舍得

看透取舍，减少内耗

最近感觉自己的记忆力越来越不好了，但是却并不觉得是自己的记性变差了，反而我开始觉得人本来能记住的东西的最大容限就是有限的，类似一个渐进曲线的图，随着x的增加，y也会一直增加，但是增加的会越来越慢，并且存在一个极限。有时候会不禁回想之前，不免感叹，高三可能是自己的知识巅峰，也有时候会感叹刚入行一两年的时候时巅峰，记得当时夜以继日的学习，代码审计密码学以及一堆算数基础等，感觉如今对之前做过的内容...

Posted by Ga0weI on January 25, 2024

JSP畸形unicode编码免杀原理

动态调试Tomcat分析jsp的解析过程

0x01 前言前两天从一线反馈来了一个jsp的马，马内容都是unicode编码的，但是是一些畸形的unicode编码，内容如下：这里解码不难直接，正则匹配\\u.*?\d或u+拿到重叠的u，替换成\u形式就行，然后正常unicode解码就行，如下：替换解码后：是一个冰蝎但是令我好奇的是为什么，java web应用能对这种格式的编码进行兼容解析。所以准备调试tomcat为例...

Posted by Ga0weI on January 18, 2024