原创 真的不是蔡徐坤 一颗好韭菜
一颗好韭菜
微信号 AnSec_Fnc
功能介绍 热衷于研究攻防对抗,内网渗透,木马免杀。
__发表于
收录于合集
#Bypass 10 个
#免杀 13 个
#红蓝对抗 21 个
#红队攻防 13 个
由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录
从HC样本里面获取的方法,google搜索很早之前就已经有过分析,样本里面是通过NetSarang公司签名的更新程序LiveUpdate.exe 进行攻击,而本文介绍的方法是通过自定义编写一个LiveUpdate.exe 代码。
本文讲的是一种新思路,DLL劫持,DLL是一个PE文件可能被杀,但这个方法它不会,也算是一种LOLBAS吧
思路给了,骚操作可以自由发挥。
-
“游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析 -安天
-
黑客团伙伪装成telegram官网分发Gh0st远控木马 -深信服
各大公众号已经发了类似的分析,大概流程如下
DAT的解压密码可以通过IDA分析
定义的恶意代码模版,后面我们也可以用
LiveUpdate.exe 是由indigorose 公司trueupdate工具编译而成,那么就很简单了,下载trueupdate自定义代码
这里一笔带过,其他的可以自己研究,本质是个软件,会用就可以了。
编译后会生成
而这就是我们想要的了,虽然没有签名,但此程序暂时为白程序,这里可以自己打上泄露的签名效果也嘎嘎的。
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看