这里有些技术没听说过,记录一下:
Fileless execution with remote staged encrypted binary or shellcode.
Early Bird APC injection.
Process masquerading.
Supports Named Pipes.
Strings and function calls obfuscation.
Mortar covert reload subroutine.
Delay execution techniques. - 暂不清楚怎么delay的
今天看到了一款不错的后渗透插件,可以自动截图等,感觉非常NICE。回来打算深入研究,并尽可能的实现opsec,全程利用该自动化插件实现全流程自动化。
实现了除了powershell以外的COM接口操作的BOF和WMI来操作Defender加白的C#代码。 - Support for local and remote systems - Ability to revert said changes - Support processes, paths, and extensions - BOF - C# https://github.com/EspressoCake/Defender-Exclusions-Creator-BOF https://github.com/EspressoCake/DefenderPathExclusions/tree/main
最近准备着手学习一下DLL及相关技术,收集了一些资料,方便自己学习,首先是一些有关白加黑中出现的高频问题,下面的三篇文章都是围绕DLL 死锁这件事来展开的。 解决DLL Main函数的死锁问题:Perfect DLL Hijacking What is Loader Lock? Another reason not to do anything scary in your DllMain: Inadvertent deadlock
文章列出了一些对抗360 QVM的一些方法,总的来说包括:
1.减熵:单词映射和一个感觉很好玩的东西 马尔可夫链 (Markov chain)
2.添加资源:利用Resource Hacker或者是直接在VS中添加
3.给section中添加一些白数据
4.添加一些无害化的函数,是程序行为看起来很正常(这一部分感觉可以做成静态链接库,用啥拿啥)
5.增加一些正常的字符串
6.复杂流程
7.窗体程序