RTLO是Right to Left Override的縮寫,主要的攻擊方式是利用檔案名稱編排呈現方式來誘騙使用者執行偽裝後的惡意檔案,一般英文語系國家書寫方式是由左至右編排,但是在中東的國家其書寫方式是由右至左編排,於是攻擊者即可透過Un…
1使用icacls.exe 2.setACL.exe 或者dll https://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/ https://he…
很多新入門的同學在在拿下一台服務器權限後經常會出現不知道做什麼的問題,往往就會不管三七二十一提權exp 一頓砸,在宕機的邊緣瘋狂試探。 那麼,在實際情況中,當我們拿到一台服務器的權限時,應該怎麼做呢? 首先,需要看這台服務器是否是邊界,是否…
今天一個朋友丟過來一段代碼,是抓到C&C攻擊的,但代碼是加密的,不知道裡面是在做什麼動作,需要一起看看怎麼解密下。 注意:打開帖子,某些防毒軟體會提示病毒,主要因為代碼本身是病毒,但在本帖是純代碼的方式展示,不是可執行的狀態
轉自:http://bbs.pediy.com/showthread.php?t=199036 InLine HOOK中_declspec(naked) 使用 对于jmp类型的hook, 如果自己的过程没有使用_declspec(naked…
【前言】有時候由於各種原因導致之前安裝殺毒軟體無法完全卸載,進而導致一些不友好的問題發生,這個時候我們便需要卸載工具(當然我們建議優先選擇官方的)的幫忙。由於國內殺軟幾乎不提供官方卸載工具,因此以下僅提供常見的國外殺毒軟體的官方卸載工具及其…
方法一: 注意!!使用本方法會將使用者的資料(桌面﹑我的文件﹑信件…等等)清空,所以必須要先備份,因為系統會以新裝機的方式產生使用者。 1.在舊的系統上請先關掉AHCI 更換成IDE模式 開機進入win7 方法就是免重灌開AHC…
今天信箱裡收到一封帶附件的英文郵件,這本身就是不正常的,就好奇的將附件下載下來。 zip文件解壓後裡面的文件名字為0000772946.doc.js,看名字就知道是為了讓打開的人以為是doc文件,畢竟作業系統預設是不顯示副檔名的,我用記事本…
不能掉的前言 當反彙編惡意軟件樣本時,其實我們就是在分析尋找攻擊者所疏忽的地方。這些我們可以從那些相同字符串、較弱的模糊處理例子、重複使用的代碼片段中去分析。有時我們在談論攻擊者時總會帶著一些主觀臆想,認為那些攻擊者就是超級惡棍,做壞事就跟…