搜狐中招钓鱼邮件诈骗的技术和基础设施分析

2022年4月中旬,客户反馈收到以工资补贴相关为诱饵的钓鱼邮件。邮件附件为doc文档,其中包含一个二维码(如下图所示)。扫描二维码后,将跳转到钓鱼链接

  • 3
  • 1
  • 26号院
  • 发布于 2022-05-26 14:16:53
  • 阅读 ( 5546 )

一些奇奇怪怪的隐藏闲谈

随便写写,勿喷

  • 2
  • 0
  • tutuj
  • 发布于 2022-05-26 09:28:03
  • 阅读 ( 6873 )

带宏的恶意样本分析

分析一个带宏的恶意样本,通过宏代码释放恶意文件至本机执行,释放的恶意样本可实现多条远控功能

  • 0
  • 0
  • 莫一
  • 发布于 2022-05-25 09:33:24
  • 阅读 ( 4704 )

PlugX样本分析

该样本为RAR自解压文件(SFX),压缩包中包含三个文件:mcs.exe, mcutil.dll和mcutil.dllsys。mcs.exe加载同一目录下的mcutil.dll,而mcutil.dll则会加载并执行mcutil.dllsys中包含PlugX木马程序的shellcode。 木马通过注册服务实现持久化,并且在运行时注入正常进程以隐藏自身踪迹,与C&C服务器的通信数据经过加密处理。

  • 0
  • 0
  • N0xJoe
  • 发布于 2022-05-25 09:32:10
  • 阅读 ( 6099 )

python自写加密免杀初尝试

python入门简单,所以平常很多脚本都基于python开发,于是便有了尝试python免杀尝试。

  • 2
  • 0
  • suansuan
  • 发布于 2022-05-23 09:38:29
  • 阅读 ( 5904 )

VBA Stomping

攻击者可以使用这种方法用良性代码或随机代码,隐藏恶意的源代码。通过VBA stomping,当你查看宏代码,以为没有恶意代码而启动宏的时候,就会运行攻击者恶意的源代码了

  • 1
  • 3
  • 鹿柴
  • 发布于 2022-05-19 09:43:00
  • 阅读 ( 6311 )

【STARCTF2022】Simple File System & NaCI(去花F5!

关于*CTF两道逆向题的详细解析,包括去掉了NaCI这类不太常见的花,可实现F5阅读源码

  • 0
  • 2
  • PZZZZ
  • 发布于 2022-04-27 09:32:17
  • 阅读 ( 5059 )

2022 网刃杯 WriteUp

同时打MRCTF、pwnhub、网刃杯,属实是遭不住....

  • 0
  • 0
  • mon0dy
  • 发布于 2022-04-26 14:08:05
  • 阅读 ( 5717 )

一个略绕的NjRat 样本简析

在每日摸鱼时光中,找点样本分析一下是划水最好的方式,这一次又看到一个NjRat 样本,简单分析了一下,发现有点意思,让后被cue 要写详细一点,嘎嘎嘎,不多说,开摆。

  • 1
  • 1
  • tutuj
  • 发布于 2022-03-30 09:42:41
  • 阅读 ( 5746 )

初探smc动态代码保护

SMC,即Self Modifying Code,动态代码加密技术,指通过修改代码或数据,阻止别人直接静态分析,然后在动态运行程序时对代码进行解密,达到程序正常运行的效果,而计算机病毒通常也会采用SMC技术动态修改内存中的可执行代码来达到变形或对代码加密的目的,从而躲过杀毒软件的查杀或者迷惑反病毒工作者对代码进行分析。

  • 0
  • 0
  • 绿冰壶
  • 发布于 2022-03-29 09:41:37
  • 阅读 ( 5775 )

Blackmonth样本分析

远程控制,C&C服务器,混淆

  • 2
  • 3
  • 初学者
  • 发布于 2022-03-22 09:31:46
  • 阅读 ( 6415 )

NjRat样本分析报告

NjRat样本分析报告

  • 0
  • 2
  • tutuj
  • 发布于 2022-03-17 09:34:00
  • 阅读 ( 5912 )

那CTF,那VMre,那些事(四)

这是笔者vmre系列学习的第四篇文章,这篇我们只聊做题,复现分析三道较为复杂的vmre题目(涉及angr自定义函数,贪心搜索算法,大批量opcode处理,复杂函数逻辑运算处理等知识点),同时谈谈感受

  • 0
  • 0
  • 绿冰壶
  • 发布于 2022-03-04 09:24:47
  • 阅读 ( 5762 )

那CTF,那VMre,那些事(三)

本篇文章为虚拟机保护re系列文章的第三篇,主要研究存在栈结构的虚拟机保护re的特点与解题步骤

  • 0
  • 0
  • 绿冰壶
  • 发布于 2022-03-01 09:34:57
  • 阅读 ( 5474 )

那CTF,那VMre,那些事(二)

本篇文章主要讨论了vm虚拟机逆向中angr符号执行的妙用,以及更加复杂的vm逆向题目的分析,本篇文章为系列文章的第二篇。

  • 0
  • 1
  • 绿冰壶
  • 发布于 2022-02-25 09:36:24
  • 阅读 ( 5111 )

浅谈CTF中的unity游戏逆向

近期的各种比赛中,re整的花活是越来越多了,unity游戏逆向的地位也是水涨船高。unity游戏逆向主要可以分成两类,dll游戏和libil2cpp游戏。unity游戏逆向在ctf中的难度分布相当不均匀,分析手段花样繁多(常规加解密手段、dll爆破、frida……)。值得我们好好学习。

  • 2
  • 1
  • 绿冰壶
  • 发布于 2022-02-24 09:22:22
  • 阅读 ( 9736 )

Bvp47——来自美国国安局方程式组织的顶级后门

2013年,盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的Linux平台后门,其使用的基于SYN包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见...

  • 0
  • 1
  • 26号院
  • 发布于 2022-02-23 11:09:26
  • 阅读 ( 6624 )

那CTF,那VMre,那些事(一)

vm虚拟机保护逆向,是一种利用了虚拟机技术的一种特殊加花指令方式。目前比赛中,虚拟机题目特点是核心算法不是很复杂,虚拟机本身没有反调试和代码加密混淆的加入。大部分题目的思路都是考察分析switch语句及其分支。

  • 1
  • 2
  • 绿冰壶
  • 发布于 2022-02-11 09:40:10
  • 阅读 ( 6465 )

SysJoker:以npm软件供应链为攻击入口的跨平台恶意后门分析

奇安信技术研究院星图实验室利用自研的天问软件供应链安全分析平台,发现了用于传播SysJoker恶意软件的两个npm包 mos-sass-loader 和 css-resources-loader

Gh0st 对lsp 的诱惑

Gh0st 对lsp 的诱惑

  • 2
  • 1
  • tutuj
  • 发布于 2022-01-19 09:52:42
  • 阅读 ( 6427 )