都2024年了，你不会还再被沙箱X出吧？ 前言这次我们来聊聊反沙箱，众所周知。很多前人大佬都对反沙箱有自己的思路理解和实现方法，也开源了很多，但是安全厂商的AV沙箱也一直在进步。啥是沙箱呢？沙箱能够模拟出软件执行所需的运行环境，通过进程hoo... 2024-1-4 22:0:50 | 阅读: 33 | 收藏 | 安全的矛与盾 ntp duration itimerid 基准 eventhandle

JVM HSDB在后渗透中的利用 背景HSDB（Hotspot Debugger)，是JDK自带的调试工具，可用于调试JVM 运行时数据。最近在学习Beichen师傅《JVM核心对抗》PPT的时候，注意到提到了HSDB的一个玩法：利... 2023-11-10 18:37:47 | 阅读: 21 | 收藏 | 安全的矛与盾 shellcode windbg

钓鱼新姿势，在伪装成pdf的doc文档执行宏代码 看到群友分享的帖子：https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html。原文展示了一个样本，可以在pdf中嵌入一个恶意的doc文档，并可以正常... 2023-9-4 17:16:3 | 阅读: 27 | 收藏 | 安全的矛与盾 mhtml mso olevba ole activemime

断掉进程链，进程洗白so easy 事情缘起于微步发的一篇文章（https://www.ctfiot.com/91461.html），文章写的很不错，在圈子内激起不小的反响，但是文章中对怎么断掉进程链含糊其辞，只说了逆向分析的过程，并没... 2023-5-15 15:54:48 | 阅读: 54 | 收藏 | 安全的矛与盾 ctray nid hotkeytable 安全 wparam

组策略启动脚本工作过程以及通过劫持写任意启动项 前言之前逆向分析过一个能够过360启动项监控的远控木马的工作原理(具体细节可以参考https://articles.zsxq.com/id_w2ue4o2bs2ju.html)，关注到系统的组策略中的... 2023-5-5 17:34:8 | 阅读: 22 | 收藏 | 安全的矛与盾 注册表 windows 拦截 gpsvc 安全

一个图标伪装的钓鱼木马分析 事件背景某重要活动结束前一天，安全的矛与盾星球内部交流群里有位蓝队兄弟扔出来三个公鸡队样本让群里还在的师傅帮忙分析一下，由此便展开了下面的分析经过。分析经过首先拿到样本之后，... 2022-8-9 18:56:32 | 阅读: 60 | 收藏 | 安全的矛与盾 shellcode 数据 指令 loader 安全