一、免杀的概念什么是免杀？免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写VirusAV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。通俗点讲，也就是一个被杀软报毒的PE文件，经过一系列处理后，使杀软不认为他是一个病毒或木马。那么，啥是P

玄机-第一章应急响应-webshell查杀靶机账号密码rootxjwebshell1.黑客webshell里面的flagflag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shellgithub地址的md5flag{md5}3.黑客隐藏shell的完整路径的md5flag{md5}注:/xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完

0x00：前言随着近两年hvv和红蓝对抗以及国家对于网络安全的重视，国内防护水平都蹭蹭上了一个台阶，不管是内部人员的技术水平提高还是防护设备的层层部署，均给了红队人员想要进一步行动设置了障碍。 通过weblogic的cve-2019-2725获取了一个，想要进一步把shell迁移到msf或者CS进行

1、恶意外联，ip封禁及溯源准备工作：对恶意ip信息收集，如fofa、钟馗之眼、资产绘测等等；受害者信息收集，如：开放端口，判断入侵点；2、现场调研互联网结构，数据流向，核心交互机（是否有服务器）；日志审计：windows系统日志中，wife连接日志可以确认安全事件发生时间；是否有态势感知平台，判断外联时间

记录一次项目中挖矿病毒的经历这是黑客使用的批量蔓延病毒的工具，通过如下脚本[[email protected]]#cat/home/pischi/.bash_historycd/root/nvidia-smi;ls-a;cd.cfg;ls-a;wc-lip./key20-fippass22"nproc;nvidia-smi;rm-rf.cfg;mkdir.cfg;cd.cfg;wget193.42

简介靶机账号密码rootxjwebshell1.黑客webshell里面的flagflag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shellgithub地址的md5flag{md5}3.黑客隐藏shell的完整路径的md5flag{md5}注:/xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径md5flag步骤#1.1

Windows分析排查分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测，挖掘Windows系统中是否具有异常情况1.开机启动项检查一般情况下，各种木马、病毒等恶意程序，都会在计算机开机启动过程中自启动查看开机启动项：1.利用操作系统中的启动菜单（注意有的

半导体晶圆厂企业为了隔绝外部⽹络有害攻击、保护⽹络和数据安全，通常采⽤物理隔离的⽅式，将企业内⽹与互联⽹隔离。⽹络隔离后，基于业务开展需求，部分重要数据仍需由内⽹导⼊及导出⾄外部⽹络区域。为保障数据的安全合规性，企业需要对⽂件导出导出⾏为进⾏管控。  不少晶圆厂为

0.零散知识0x00添加图标：尝试了几种大众方法，感觉还是这篇文章的方法好用https://www.sqlsec.com/2020/10/csexe.html#%E6%B7%BB%E5%8A%A0%E5%9B%BE%E6%A0%870x01添加签名：sigthief下载地址：https://github.com/secretsquirrel/SigThiefpythonsigthief.py-i"C:\ProgramFil

查看网络连接#查看网络连接及使用的端口netstat-ant-p我们可以看到服务器想很多陌生ip发送连接，都是通过这个work32进程。查看进程#查看并过滤指定进程ps-aux|grepwork32关闭进程，删除源文件这里我们可以看到这个进程文件的路径，我们先将这个进程杀掉,然后进到这

前言在我们后渗透时很多时候需要使用到一些敏感的工具，而这些工具大多都被360等杀软厂商标记。导致我们传入的工具无法执行或执行时被拦截。接下来以测试工具mimitakz为例演示如何绕过这些杀软拦截，躲避查杀等。以下为具体开发细节，程序执行时杀软拦截360静态查杀何为"静态查

教材学习内容总结 教材学习中的问题和解决过程问题：如何防范安全攻击解决方案：通过查询得知 对于黑客一是及时更新服务器系统安全漏洞补丁二是要加强服务器安全防护能力三是制定有效的风险预警机制，重要数据一定要备份四是发现被“黑客”入侵时，要立即断网，保存好现场的犯罪

https://www.secrss.com/articles/50209 Gh0st是一种远程控制软件，它可以在被攻击的计算机上运行并允许攻击者远程控制该计算机。为了查找Gh0st的进程、文件、注册表等信息，您可以采取以下步骤：查找Gh0st的进程：打开任务管理器，查看正在运行的进程列表，如果发现可疑的进程名称，例如

内网渗透-免杀全文内容来自网络，如有冒犯立删。目录内网渗透-免杀杀软原理静态检测动态检测流量检测云查杀免杀原理静态免杀修改特征码花指令免杀加壳免杀动态免杀API免杀内存免杀二次编译分离免杀资源修改免杀技术研究Bypass一览表（2020年）Bypass一览表（2022年）复现环境（2022年）Meta

红蓝对抗以及护网相关工具和资料，内存shellcode（cs+msf）和内存马查杀工具文件列表 RedTeam_BlueTeam_HWRedTeam_BlueTeam_HW|│.gitattributes│.gitignore│hostnamePot.jar│hw相关项目.md│LICENSE│main.md│README.md│security_wike.md│├─

Windows应急响应一、概述近年来，随着互联网的发展网络安全攻击事件也是大幅度增多，如何在第一时间发现攻击事件，并实施应急处置，能够有效的将损失降到最低。在实施应急响应的过程中，需要从多方面进行联动工作，具体的流程和依据可以参考《GB∕T38645-2020信息安全技术网络安全事件应

原理• 利⽤JavaAgent技术遍历所有已经加载到内存中的class先判断是否是内存⻢，是则进⼊内存查杀• 访问时抛异常(或跳过调⽤)，中断此次调⽤• 从系统中移除该对象排查方式•如果是jsp注⼊⽇志中排查可疑jsp的访问请求• 如果是代码执⾏漏洞，排查中间件的er

0x00前言 蠕虫bd是一种十分古老的计算机，它是一种自包含的程序（或是一套程序），通常通过网络途径传播，每入侵到一台新的计算机，它就在这台计算机上复制自己，并自动执行它自身的程序。常见的蠕虫bd：熊猫烧香bd、冲击波/震荡波bd、confickerbd等。0x01应急场景 某天早上，管理员在出

qq盗号的木马：点击server.exe结束进程刷新以后又出来：用taskkill命令：taskkill/pid892taskkill/pid984taskkill/pid2752写入bat文件，全部干掉打不开regedit,看到映像劫持：我们改过名字就行了，regedit.exe改成qwe.exe病毒弄映像劫持是为了干掉杀软或者使用autoruns.exe找到：全部删

一句话木马绕过D盾查杀关于eval函数eval是⼀个语⾔构造器⽽不是⼀个函数，不能被可变函数调⽤可变函数：通过⼀个变量，获取其对应的变量值，然后通过给该值增加⼀个括号()，让系统认为该值是⼀个函数，从⽽当做函数来执⾏通俗的说⽐如你<?php$a=eval;$a()?>这样是不⾏的.也造就了⽤eval

特征码的查杀原理什么是特征码,防毒软件从病毒样本中提取的不超过64字节能代表病毒特征的十六进制代码.主要有单一特征码,多重特征码和复合特征码这三种类型特征码的提取获取病毒程序的长度,根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特侦码误

 不知道大家还记不记得当年的一个网络重大事件，一只可爱的熊猫拿着香席卷了众多用户的电脑，被这只熊猫席卷的电脑无一不出现系统崩溃、瘫痪的情况，而这只熊猫就是当年造成重大影响的一款电脑病毒：“熊猫烧香”。经过网络的发展，对于病毒的“侵袭”，各大厂商也发明了许多的查杀病毒软件

众所周知，国内的安卓市场内卷极其严重，原生应用开发可谓是寸步难行，想必大家在最近的面试中能看出，要么面试完全没机会，要么薪资对半砍，一天比一天难......但细看整个Android生态却无比繁荣，手机、平板、电视、音视频等等，特别是在智能汽车+电动汽车的浪潮下，诞生出一大批高薪岗位。车载成为

提到Android车载，我们应该都不陌生。传统的车载功能单一，无太多娱乐性，而随着智能化时代的发展，车载系统也被赋予了在系统中预装Android应用的能力，基于Android平台的车载信息娱乐系统——AndroidAutomotive应运而生。而今，包括BAT在内许多传统互联网企业纷纷布局手机产业，追逐新能源造

时间回到2014年6月26日，谷歌在GoogleI/O大会的开幕式主题演讲中正式发布了手机车机映射方案AndroidAuto，旨在通过中控屏幕来使用手机内置的服务，让软件的体验更适合车载场景。2016年，谷歌又在I/O大会上展示了使用Android系统接管玛莎拉蒂Ghibli的中控系统，包括空调和