如何建立RTLO文件

RTLO是Right to Left Override的縮寫,主要的攻擊方式是利用檔案名稱編排呈現方式來誘騙使用者執行偽裝後的惡意檔案,一般英文語系國家書寫方式是由左至右編排,但是在中東的國家其書寫方式是由右至左編排,於是攻擊者即可透過Un…


[轉]Windows 系統信息收集

很多新入門的同學在在拿下一台服務器權限後經常會出現不知道做什麼的問題,往往就會不管三七二十一提權exp 一頓砸,在宕機的邊緣瘋狂試探。 那麼,在實際情況中,當我們拿到一台服務器的權限時,應該怎麼做呢? 首先,需要看這台服務器是否是邊界,是否…


一段powershell的混淆代碼的解密

今天一個朋友丟過來一段代碼,是抓到C&C攻擊的,但代碼是加密的,不知道裡面是在做什麼動作,需要一起看看怎麼解密下。 注意:打開帖子,某些防毒軟體會提示病毒,主要因為代碼本身是病毒,但在本帖是純代碼的方式展示,不是可執行的狀態


[轉]常見國外防毒軟體(杀毒软件)官方移除(卸载)工具及下載(下载)地址【合集】

【前言】有時候由於各種原因導致之前安裝殺毒軟體無法完全卸載,進而導致一些不友好的問題發生,這個時候我們便需要卸載工具(當然我們建議優先選擇官方的)的幫忙。由於國內殺軟幾乎不提供官方卸載工具,因此以下僅提供常見的國外殺毒軟體的官方卸載工具及其…


[轉]Windows7 換主機板免重灌的方法

方法一: 注意!!使用本方法會將使用者的資料(桌面﹑我的文件﹑信件…等等)清空,所以必須要先備份,因為系統會以新裝機的方式產生使用者。 1.在舊的系統上請先關掉AHCI 更換成IDE模式 開機進入win7 方法就是免重灌開AHC…


20151205收到一封病毒郵件簡單分析

今天信箱裡收到一封帶附件的英文郵件,這本身就是不正常的,就好奇的將附件下載下來。 zip文件解壓後裡面的文件名字為0000772946.doc.js,看名字就知道是為了讓打開的人以為是doc文件,畢竟作業系統預設是不顯示副檔名的,我用記事本…


[轉]分析單字節XOR的Word巨集病毒文檔

不能掉的前言 當反彙編惡意軟件樣本時,其實我們就是在分析尋找攻擊者所疏忽的地方。這些我們可以從那些相同字符串、較弱的模糊處理例子、重複使用的代碼片段中去分析。有時我們在談論攻擊者時總會帶著一些主觀臆想,認為那些攻擊者就是超級惡棍,做壞事就跟…