用 Yara 对红队工具 打标(四)——cobaltstrike 生成马浅析(四)
本篇是 "用 Yara 对红队工具 "打标"" 系列文章第八篇,是 CS 马分析的最后一篇
- 0
- 1
- 沐一·林
- 发布于 2023-01-09 09:28:08
- 阅读 ( 4698 )
沐一·林
用 Yara 对红队工具 打标(四)——cobaltstrike 生成马浅析(三)
本篇是 "用 Yara 对红队工具 "打标"" 系列文章第七篇,是对前面 "用 Yara 对红队工具 打标(四)——cobaltstrike 生成马浅析(二)" 文章中剩余部分的一点补充。
- 0
- 1
- 沐一·林
- 发布于 2023-01-05 10:44:27
- 阅读 ( 4602 )
用 Yara 对红队工具 打标(四)——cobaltstrike 生成马浅析
本篇是 "用 Yara 对红队工具 "打标"" 系列文章第五篇,cobaltstrike 生成马规则分析
- 0
- 1
- 沐一·林
- 发布于 2022-12-29 09:00:01
- 阅读 ( 5106 )
AFL原码分析----编译和插桩
源码分析关注两个方面,第一个方面关注afl-gcc的插桩方式,第二个方面关注afl-fuzz模式,和变异模式。 为了方便下面的分析,需要先了解一点知识,首先看一下AFL的makefile afl-gcc: afl-gcc.c $...
- 0
- 1
- 就叫16385吧
- 发布于 2022-12-21 14:39:05
- 阅读 ( 4578 )
就叫16385吧
初识Rasp——Openrasp代码分析
本文以Openrasp为例,介绍了rasp产品的部署与检测原理,详细分析了OpenRasp的部署和检测、拦截攻击的过程。分析了Rasp产品的绕过方式和优缺点。
- 1
- 1
- drag0nf1y
- 发布于 2022-10-20 09:30:02
- 阅读 ( 6560 )
drag0nf1y
用 Yara 对红队工具 "打标"(二)
本篇是对 用Yara 对红队工具 "打标" 的继承和发展,让思维更高一层。
- 0
- 1
- 沐一·林
- 发布于 2022-10-19 09:30:00
- 阅读 ( 6436 )
Mimikatz:msv功能模块浅析
没学过逆向的web小白,起初想着在主机做弱口检测,但基本都是以爆破的方式实现。由于获取主机明文密码受系统版本和注册表配置影响,所以只能想到NTLM比对,那么NTLM怎么获取呢,一起看看mimikatz的msv功能模块吧
- 0
- 1
- w1nk1
- 发布于 2022-10-11 09:14:24
- 阅读 ( 4377 )
w1nk1
用 Yara 对红队工具 "打标"
我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
- 2
- 1
- 沐一·林
- 发布于 2022-09-27 11:26:59
- 阅读 ( 5707 )
信安之路团队
CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
只有对工具足够的了解,才能够更好的进行修改
- 0
- 1
- 信安成长计划
- 发布于 2022-03-01 09:31:24
- 阅读 ( 3999 )
信安成长计划
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
只有对工具足够的了解,才能够更好的进行修改
- 0
- 1
- 信安成长计划
- 发布于 2022-01-28 09:45:15
- 阅读 ( 4035 )
Ysoserial Click1利用连分析
`click1 gadget`构造思路是基于`Commons-Collections2`的Sink点`(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl)`和source点`(java.util.PriorityQueue)`。`Commons-Collect...
- 1
- 1
- 深信服千里目安全实验室
- 发布于 2021-11-08 17:49:41
- 阅读 ( 3453 )
深信服千里目安全实验室
个人总结:使用测绘平台搜索目标资产的万能招式
周末试了试最近新出的一款测绘产品——全球鹰网络空间测绘搜索平台,个人对如何使用测绘平台搜索资产做了一些通用总结,不喜勿喷
- 5
- 1
- HUNTER网络空间测绘
- 发布于 2021-11-02 14:05:55
- 阅读 ( 7195 )
HUNTER网络空间测绘
Windows系统中编写Shellcode
- 1
- 1
- Macchiato
- 发布于 2021-10-25 14:00:58
- 阅读 ( 4066 )
WatchAD攻防实战
## WatchAD攻防实战 WatchAD是0KEE Team研发的开源域安全入侵感知系统,WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等...
- 1
- 1
- tinyfisher
- 发布于 2021-10-15 14:10:31
- 阅读 ( 4654 )
memShell——jvm注入工具分析
这块领域大佬太多,大佬勿喷~ 本文将从工具视角下对实现jvm注入的过程做分析,看一下冰蝎作者键盘下的demo工具都经历了些什么
- 0
- 1
- w1nk1
- 发布于 2021-10-13 14:03:56
- 阅读 ( 4421 )
trapfuzzer 源码分析
# 概述 我们知道目前用到比较多的Fuzz工具为AFL以及其衍生产品,比如`winafl`等。这类工具一般针对小程序,如果需要测试一些大型软件则需要做额外的适配工作,往往需要分析目标处理数据的函...
- 0
- 1
- hac425
- 发布于 2021-09-16 11:49:58
- 阅读 ( 4937 )
【零基础也能用】WX PC版聊天记录取证工具
# 0x01 前言 微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利,但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。由于微信本身是一个信息传递平...
- 1
- 1
- 天禧信安
- 发布于 2021-08-25 16:31:07
- 阅读 ( 5208 )
天禧信安
冰蝎内存webshell注入和防检测分析
从最开始的Godzilla客户端的注入内存webshell功能,到现在冰蝎hook注入,内存webshell攻防对抗已经开始激烈起来,最初Godzilla使用的是添加servlet,rebeyond使用的是添加filter,然后出现了一些使用注入jar包检测新加载class进而检测内存马的项目,到冰蝎不加载新class,而是使用注入jar包hook方法实现内存webshell,且开始尝试防止其他jar注入,加载的class的包名混淆绕过检测等等。本篇来研究冰蝎内存马机制和防注入原理。
- 0
- 1
- ChanGeZ
- 发布于 2021-08-17 17:16:15
- 阅读 ( 6832 )
ChanGeZ