检测LKM Rootkit的processdecloak 【一、楔子】：趋势科技于 2022 年 5 月记录了Reptile Rootkit 的首次使用，涉及追踪为 Earth Berberoka的入侵。该入侵集被发现使用该恶意软件来隐藏与跨平台 Pytho... 2023-11-18 00:19:9 | 阅读: 16 | 收藏 | MicroPest 隐藏 信息 rootkits reptile 映射

一段寻找Secret的py熵代码 对工具人来说，我们对工具有着异乎常人的喜欢，me too      今天推荐个关于熵的py工具，官方介绍为：entropeer will dig secrets out of a file... 2023-11-17 14:0:29 | 阅读: 13 | 收藏 | MicroPest 信息 entropeer entropy 加壳

AppVeyor，不错的快速构建平台！ 前几天，看到有人在说AppVeyor，因为忙也没有在意，今天有点空了，就看了看，确实是个非常不错的快速构建平台，可以让你在没有编译环境的情况下，快速利用这个平台来编译完成代码测试和部署，... 2023-9-14 23:9:53 | 阅读: 15 | 收藏 | MicroPest appveyor github mimikatz 控制 windows

Windows事件日志快速时间线生成和威胁搜寻 今天，稍微可以松口气了，毕竟是过节，有一个月的时间没来这里了。前期有很多舍不得，问我现在有什么感觉，直言“麻木”了，面临“生死”实在是顾不上了，“擂台赛”打得太惨烈，舍弃了很多。今天，给... 2023-6-22 21:51:20 | 阅读: 12 | 收藏 | MicroPest windows hayabusa security github yamato

注册表隐藏 “擂台赛”真是压力山大！实在没有时间，更谈不上研究一些东西，看到吴总的“数字孪生XXX技术”只能膜拜膜拜！现在发现，烦闷的时候，码码字是个解压的好办法，能够暂时什么都不想了，只澄净在其中。找一... 2023-5-23 21:3:48 | 阅读: 12 | 收藏 | MicroPest 隐藏 注册表 windows decoy regedit

再论 BackStab 在2021年6月19日曾经介绍过这个BackStab工具，主要是它能利用合法的驱动来杀掉安全防护程序EDR，因为利用了微软的签名，所以在系统上无所阻挡，这也是针对安全产品的基于驱动程序的攻... 2023-4-30 10:51:19 | 阅读: 19 | 收藏 | MicroPest backstab aukill 安全 攻击 信息

供应链安全的检测工具 前天是“世界读书日”，象我这样不读书，真不知道，到刷朋友圈时才后知后觉。曾经我也梦想成为知识渊博的人，现实却是“沾书就打盹”；看别人侃侃而谈也曾心生羡慕，现实却是初心梦想越来越飘渺不见，... 2023-4-25 22:12:38 | 阅读: 40 | 收藏 | MicroPest 安全 murphysec 墨菲 开源 梦想

一个有意思的自动逆向工具 今天很多老朋友相聚，非常地开心！有个朋友向我推荐了这个工具，就是下面要介绍的这个，抽时间晚上研究了下，还是很有意思的，尤其是在记录程序的自动执行方面，跟当年一个朋友写的东西有些类似。这个工具目前是手工... 2023-4-18 23:15:44 | 阅读: 113 | 收藏 | MicroPest reversekit

我的勘验工具包 这是我的勘验工具包，从2018年起第一版一直在维护中，到5月1日就满5整年了，昨天晚上值班，花了4个小时，一直忙到凌晨2点才将程序、工具大梳理、大清理、大归类完毕。原来有些乱的地方面貌一新，做到了底数... 2023-4-13 18:30:12 | 阅读: 11 | 收藏 | MicroPest 版块 nir 勘验 面貌 打住

mmc的tips mmc.exe是什么？百度百科：mmc.exe是系统管理程序的一个框架程序，全称是Microsoft Management Console，它提供给扩展名为msc的管理程序一个运行的平台，比如组策略，... 2023-4-12 21:8:1 | 阅读: 11 | 收藏 | MicroPest 键值 mmc 查看器 regsvr32 窗体

ExtractVMFile：快速浏览提取虚拟机磁盘文件 上周，腰椎间盘发作，直接下不了床，有史以来最厉害的一次了，到现在还在扎针灸，感觉今天好多了，能够坐在桌前处理一些文档了。这次算是给我提了个醒，身体容不得半点马虎，没有身体一切都不成立，也曾想着在床上办... 2023-4-1 22:48:36 | 阅读: 20 | 收藏 | MicroPest 虚拟 ftk 镜像 坐不住 虚拟机

结合AutodialDLL横向移动技术和SSP的PoC，从LSASS进程中抓取NTLM哈希 在这篇里，涉及到“AutoDialDLL持久化驻留并横向移动、加载SSP、抓取NTLM哈希”等知识点内容，且每一项内容都能作为一个点延伸展开学习，确实相当的复杂，强烈建议要读源码来理解细节。一... 2023-3-19 23:10:28 | 阅读: 134 | 收藏 | MicroPest loginfo cryptoblob needle modulebase

学习编写x64dbg插件 有时候，缘份是件很奇怪的东西。话说，半月前，在看雪上发现一作者写的《x64dbg插件编写基础》，觉得很好。因为我不写插件，所以也没有想法，当时时只是看了看，但印象很深。        今... 2023-3-5 23:47:18 | 阅读: 11 | 收藏 | MicroPest initstruct cbtype x64dbg setupstruct pluginsdk

一组shellcode加密方式 写过不少关于shellcode的文章，可以参看以前的。正好看到一组对shellcode加密手法的源码，难度不大，推荐给大家，开个脑洞。这个包含：简单的 shellcode 加载器，编码器（base64... 2023-2-25 20:20:44 | 阅读: 32 | 收藏 | MicroPest 0x4a 0x43 0x2 0x42

windows下的反调试 明明VirtualProtect，也hook成功了，但用另一个程序调用此函数时，发现它处于原始状态(未hook)，实在是摸不着头脑，找不到原因，一直在找资料，发现了这个，非常不错，特推荐... 2023-2-23 23:41:56 | 阅读: 12 | 收藏 | MicroPest seh pcontext windows

一种DLL劫持检测工具源码 长假即将结束，又要投入到工作中了。虽然七天假上了四天的班，但还是很爽的。    近日，溜达时发现了一款DLL劫持检测的源码，仔细地看了下，还是很有创意的，源码在下面附上。当时咋一看时，有点懵，... 2023-1-27 21:12:50 | 阅读: 18 | 收藏 | MicroPest 劫持 模块 二进制 dllspy 被劫持

动态添加导入表，花式DLL注入 以前看过在静态EXE文件中添加导入表来载入dll，但缺点明显，对EXE文件修改了。近日看到老外一篇文章中描述的一个方法，挺有思路挺有意思，介绍给大家。原理是：在启动一个EXE文件时动态... 2023-1-25 22:9:59 | 阅读: 11 | 收藏 | MicroPest remote

劫持目标进程中的文件 #include <stdio.h>#include <windows.h>#define SystemExtendedHandleInformation 64#define STATUS_INFO_... 2023-1-16 23:3:16 | 阅读: 13 | 收藏 | MicroPest pglobal hfile closehandle szpath

对某服务器木马程序的分析 此文发表于《电子数据取证与网络犯罪调查》（第五辑），一度在硬盘里遍寻不见，幸好张老师有留存。年纪是大了，记性差许多，还是觉得放在这里有个保障。今天是“人民警察节”，就以这种方式纪念下。感慨：在分析木马... 2023-1-10 22:20:56 | 阅读: 14 | 收藏 | MicroPest 木马 rundll32 t12hg windows tsa13

【开放下载】：文件被占用识别工具 经常碰到这样的事，直接上图，今天，我们来看下“文件被占用”该怎么处理，应该我们经常碰到，到底是哪个占用了，怎么找到它？一、windows自带搜索了下，答案很多，找了一个发现挺靠谱的，步骤：ctrl+s... 2023-1-7 19:35:50 | 阅读: 18 | 收藏 | MicroPest windows 苦恼 调出 放上来 含量