OPSEC点,将syswh3生成的那些Nt函数变成随机函数名,可以起到OPSEC的作用,可以集成在Packer当中。
来自Alaris的代码,其中亮点在于,会把我们shellcode覆盖,可以使用自实现的memcpy应该也能起到覆盖这块内存的效果... Sleep(9999);//暂停9.9秒 uint8_t overwrite[500]; NtWriteVirtualMemory(hProcess, mem, overwrite, sizeof(overwrite), 0);
AWD脚本,看描述很牛逼
FlagBuster: 当检测到输出流量中包含了符合正则的flag字符串,产生大屏告警、标记触发规则的数据包、并将flag精准替换为看起来也像flag的随机数。
KingWatcher: KoH类比赛中,当有其他队伍替换掉了赛点文件时,产生大屏告警。
ZombieKiller: 当文件系统上出现了不死马行为,标记可疑文件并产生大屏告警