#

反检测的艺术4-自保护(翻译)

在反检测的艺术系列中,我们主要研究了如何绕过自动化安全产品的方法,但是在这一部分中,我们将重点介绍几种自保护方法,保护我们在目标终端上的载荷免受其实际用户的破坏。用户可能是缺乏网络技术的员工或也有可能是网络安全部门的蓝队成员。我们的目的是在没有任何特权的情况下存活并在目标终端中隐藏我们的存在。但是,在继续学习之前,我建议您阅读本系列的前几篇文章,因为这些自保护方法包含大量的有关shellcoding和API hooking的前置知识,现在我们开始吧!

反检测的艺术3-shellcode的魔力 (翻译)

本文将讨论编写shellcode的基础知识和相关改变,包含汇编级别的编码器/解码器设计以及几种绕过漏洞缓解方案的方法,如微软的增强缓解应急工具包(Microsoft’s Enhanced Mitigation Experience Toolkit,EMET)。为了理解本文的内容,读者需要至少具有一定的x86汇编方面的基础,并对COFF和PE等基本文件格式有相当的了解,也可以读之前的文章反检测的艺术1-反病毒软件及检测技术概述反检测的艺术2-如何制作PE文件后门理解反病毒软件使用的基本检测技术的内部工作原理和相关术语。

反检测的艺术1-反病毒软件及检测技术概述(翻译)

本篇文章将介绍对抗最新反病毒软件静态检测、动态检测及启发式分析最有效的方法。其中一些已经是公开并被大众所熟知的方法,但是仍然有一些方法和绕过技巧是实现完全不可被检测(FUD,Fully Undetectable)恶意代码的关键,同时恶意代码的大小与其反检测能力同等重要,因此在实现这些反检测方法的时候我会努力让恶意代码的文件大小尽可能的小。本文也将介绍反病毒软件及Windows操作系统的内部原理,因此读者最好具备一定的C/C++及汇编语言基础同时对PE文件结构有一定的了解

Delphi程序逆向反汇编技巧小记

0x00 Delphi语言基础

1.Delphi语言概述

Delphi本身并非一种独立的语言,而是一种软件开发工具,是Object Pascal语言的一种开发工具。本身是大名鼎鼎的Borland公司开发的一种开发环境,包含IDE、图形界面库Visual Component Library(VCL)及数据库相关功能。其图像界面库VCL类似MFC,使用PME(Property/Method/Event)的开发模式。

Windows平台下一个崩溃而导致的死锁分析

0x00 问题介绍

测试反馈测试过程中发现程序进程存在但是界面没加载出来,看现场很快发现是因为版本不匹配而导致程序崩溃,在写dmp的过程中死锁而导致进程卡死,由于程序是卡死而非退出守护进程也未重启程序,最终导致界面一直没加载出来。
现象就如上面所说,但是为什么写dmp为什么会导致程序死锁呢?

Windows客户端如何透明使用DNS-over-HTTPS

0x00 现有Windows客户端程序dns查询流程

  • 1.client通过系统api(gethostbyname/getaddrinfo/getaddrinfoex)发起查询dns请求
  • 2.系统api会通过rpc查询本地服务dnscache是否有该host的缓存,如果缓存存在则直接返回返回host对应的ip地址,dns查询完成,如果没有则进入下一步
  • 3.如果不存在该host的缓存,则首先会通过解析本地hosts文件看是否有该host对应的ip,如果存在,则直接返回该ip,否则进入下一步
  • 4.如果本地hosts文件中没有该host的记录,则系统会通过发送dns udp包向本地dns服务器发起请求查询该host对应的ip,后面的dns查询过程如下图所示。

现代DDoS对抗技术概述(翻译/转载)

0x00 前言

想象一下有人不停的给你打电话,并且你没办法通过加黑名单的方式阻止他,因为他每次都使用了不同的电话号码。你可能会关掉电话,但是这样其他人也不能联系你了,常见的分布式拒绝服务攻击就和这种情况类似。
早在乔布斯推出第一部IPhone之前,DDos攻击就已经出现了。因为DDos攻击攻击效果好、易于使用,并且很难追踪,现在依然非常受黑客喜欢。那么我们如何能够防御DDoS攻击呢?在DDOS攻击面前,你能确保为你的web服务器及应用提供高水平的防护么?在本文中我们将讨论如何防止DDoS攻击并介绍一些实践有效的DDoS保护和防御技术。