本篇是 "用 Yara 对红队工具 "打标"" 系列文章第八篇,是 CS 马分析的最后一篇
本篇是 "用 Yara 对红队工具 "打标"" 系列文章第七篇,是对前面 "用 Yara 对红队工具 打标(四)——cobaltstrike 生成马浅析(二)" 文章中剩余部分的一点补充。
本篇是 "用 Yara 对红队工具 "打标"" 系列文章第五篇,cobaltstrike 生成马规则分析
源码分析关注两个方面,第一个方面关注afl-gcc的插桩方式,第二个方面关注afl-fuzz模式,和变异模式。 为了方便下面的分析,需要先了解一点知识,首先看一下AFL的makefile afl-gcc: afl-gcc.c $...
本文以Openrasp为例,介绍了rasp产品的部署与检测原理,详细分析了OpenRasp的部署和检测、拦截攻击的过程。分析了Rasp产品的绕过方式和优缺点。
本篇是对 用Yara 对红队工具 "打标" 的继承和发展,让思维更高一层。
没学过逆向的web小白,起初想着在主机做弱口检测,但基本都是以爆破的方式实现。由于获取主机明文密码受系统版本和注册表配置影响,所以只能想到NTLM比对,那么NTLM怎么获取呢,一起看看mimikatz的msv功能模块吧
我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
端口扫描这个词,大家并不陌生,无论是在边界资产探测,还是在内网服务扫描,都离不开端口扫描这个技术,当然,不可能手工来做,必须依赖工具进行,那么有哪些端口扫描工具可以用呢?它们又有那些特点呢?
只有对工具足够的了解,才能够更好的进行修改
只有对工具足够的了解,才能够更好的进行修改
`click1 gadget`构造思路是基于`Commons-Collections2`的Sink点`(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl)`和source点`(java.util.PriorityQueue)`。`Commons-Collect...
周末试了试最近新出的一款测绘产品——全球鹰网络空间测绘搜索平台,个人对如何使用测绘平台搜索资产做了一些通用总结,不喜勿喷
## WatchAD攻防实战 WatchAD是0KEE Team研发的开源域安全入侵感知系统,WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等...
这块领域大佬太多,大佬勿喷~ 本文将从工具视角下对实现jvm注入的过程做分析,看一下冰蝎作者键盘下的demo工具都经历了些什么
# 概述 我们知道目前用到比较多的Fuzz工具为AFL以及其衍生产品,比如`winafl`等。这类工具一般针对小程序,如果需要测试一些大型软件则需要做额外的适配工作,往往需要分析目标处理数据的函...
没有什么可以指导带师傅们阅读的,嘿嘿嘿
# 0x01 前言 微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利,但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。由于微信本身是一个信息传递平...
从最开始的Godzilla客户端的注入内存webshell功能,到现在冰蝎hook注入,内存webshell攻防对抗已经开始激烈起来,最初Godzilla使用的是添加servlet,rebeyond使用的是添加filter,然后出现了一些使用注入jar包检测新加载class进而检测内存马的项目,到冰蝎不加载新class,而是使用注入jar包hook方法实现内存webshell,且开始尝试防止其他jar注入,加载的class的包名混淆绕过检测等等。本篇来研究冰蝎内存马机制和防注入原理。