ASLR机制分析报告ASLR机制概述​ WindowsVista之后，ASLR（AddressSpaceLayoutRandomization）技术就是通过加载程序的时候不再使用固定的基址加载，从而干扰shellcode定位的一种保护机制ASLR机制的开启​ 项目->属性->链接器->高级->随机基址/DYNAMICBASE编译选项​ PE文件标

DEP机制分析报告DEP概述​ 数据执行保护(DataExecutionPrevention)，将数据所在内存页标识为不可执行，当程序溢出成功转入shellcode时，程序会尝试在数据页面上执行指令，此时CPU就会抛出异常，而不是去执行恶意指令。DEP的工作状态Optin：默认仅将DEP保护应用于Windows系

SafeSEH机制分析报告SafeSEH概述​ WindowsXPSP2之后提出，在程序调用异常处理函数前，对要调用的异常处理函数进行一系列的有效性校验，当发现异常处理函数不可靠时将终止异常处理函数的调用​ 当开启SafeSEH链接选项时，将异常处理信息存放在IMAGE_LOAD_CONFIG_DIRECTORY的SEHHand

DLL劫持DLL是Windows上的动态链接库的文件格式而DLL劫持是攻击者是利用一些缺陷，使得进程在加载原本DLL时加载了攻击者准备好的恶意DLL文件对于渗透测试，DLL劫持是我们在权限维持阶段常用的trick，同时也是白加黑免杀的一种技巧DLL开发以及调用选用windows上的visualstudio这款I

效果：注入代码到“注册表编辑器”（当然，必须是要有listview这种列表显示才可以执行）  ProcessInjection: ListPlanting Othersub-techniquesofProcessInjection(12)看看官方的介绍Adversariesmayabuselist-viewcontrolstoinjectmaliciouscodeinto

vs里x64编译如下代码：  #include<iostream>#include<Windows.h>//#include"common.h"intmain(){ //msfvenom-pwindows/x64/execCMD=notepad.exe-fc unsignedcharshellcode[]= "\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x0

1.内联汇编加载使用内联汇编只能加载32位程序的ShellCode，因为64位程序不支持写内联汇编#pragmacomment(linker,"/section:.data,RWE")//将data段的内存设置成可读可写可执行#include<Windows.h>//ShellCode部分unsignedcharbuf[]="\xfc\xe8\x8f\x00\x00\x00\x60\x89

目录一、基础问题回答1、杀软是如何检测出恶意代码的？2、免杀是做什么的？3、免杀的基本方法有哪些？4.开启杀软能绝对防止电脑中恶意代码吗？二、实践过程记录1、正确使用msf编码器，使用msfvenom生成如jar之类的其他文件1.1得到kali的ip地址192.168.136.1291.2检验直接生成的后门exe文

一、基础问题回答1.杀软是如何检测出恶意代码的？杀软检测恶意代码共有三种方法：1.基于特征码的检测。简单来说一段特征码就是一段或多段数据，经过对许多恶意代码的分

20201331黄文刚Exp3-免杀原理基础问题回答（1）杀软是如何检测出恶意代码的？目前杀毒软件的原理主要有3种：引擎与病毒库的交互作用，通过特征码提取与病毒库中的特征码进行

如果插入数据出现这种情况，那么最好的解决办法就是在每一个表最后添加一句这样是语句：ENGINE=InnoDBAUTO_INCREMENT=18DEFAULTCHARSET=utf8如图：  然后在尝试

前言本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离免杀处理,因此要求读者要有一定的python基础,下面我会介绍pyhon反序列化免杀所需用到的相关函数和

最近学了点木马免杀，其实总结起来一共有三个层面，代码面，文件面，逻辑面。代码层面可以通过shellcode编码混淆，编辑执行器，分离加载器等方法进行免杀文件面可以通过特征码定位，加