自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

至臻求学,胸怀云月

道阻且长,未来可期

原创 利用AI+大数据的方式分析恶意样本(十五)
原力计划

关于恶意代码检测方面的一些思考及认知

2020-06-16 18:00:51 345 1

原创 利用AI+大数据的方式分析恶意样本(七)
原力计划

构建基于机器学习的恶意代码检测器,其中包含逻辑回归算法,knn算法,决策树算法以及随机森林算法;

2020-06-06 22:03:35 237 1

原创 利用AI+大数据的方式分析恶意样本(十四)
原力计划

二进制样本分析之脱壳方法研究

2020-05-30 14:29:52 892 3

原创 利用AI+大数据的方式分析恶意样本(十三)
原力计划

Cuckoo沙箱的搭建教程

2020-05-16 17:28:28 805 2

原创 利用AI+大数据的方式分析恶意样本(十一)
原力计划

本文主要针对《利用AI+大数据的方式分析恶意样本(十)》一文中提到的方法进行刨析,给出改进意见并介绍利用其他方式的分类模型。

2020-05-09 19:10:26 335 1

原创 windows黑客编程系列(十二):远程CMD
原力计划

文章目录功能技术模块远程CMDWINAPICreatePipe实现原理编码实现执行效果 功能技术模块 病毒木马的入侵并潜伏在用户计算机上总是有着某种目的,例如获取用户隐私的办公文件或是账号密码,或是控制肉鸡,或是进行加密磁盘文件然后进行勒索。 远程CMD 对于大部分读者来说,CMD可能稍微有些陌生...

2020-05-08 18:13:19 888 4

原创 windows黑客编程系列(十一):按键记录
原力计划

文章目录功能技术模块按键记录WINAPIRegisterRawInputDevicestagRAWINPUTDEVICE结构体GetRawInputData编码实现 功能技术模块 病毒木马的入侵并潜伏在用户计算机上总是有着某种目的,例如获取用户隐私的办公文件或是账号密码,或是控制肉鸡,或是进行加密...

2020-05-07 19:38:22 544 2

原创 windows黑客编程系列(十):自删除技术

文章目录功能技术模块自删除技术WINAPIMoveFileEx编码实现 功能技术模块 病毒木马的入侵并潜伏在用户计算机上总是有着某种目的,例如获取用户隐私的办公文件或是账号密码,或是控制肉鸡,或是进行加密磁盘文件然后进行勒索。 自删除技术 所谓自删除,就是程序能够自己删除自己,自删除功能对于病毒...

2020-04-24 22:13:45 310 3

原创 windows黑客编程系列(九):使用ntdll.dll中并未公开的API进行压缩
原力计划

文章目录压缩技术利用WIN32自带API实现数据压缩WIN APIRtlGetCompressionWorkSpaceSizeRtlCompressBufferRtlDecompressBuffer编码实现运行效果 压缩技术 病毒木马悄悄的隐藏在别人的计算机上,目的是搜集用户的隐私数据。为了顺利...

2020-04-24 17:18:18 976 7

原创 windows黑客编程系列(八):以固定频率获取屏幕截图
原力计划

文章目录功能技术模块桌面截屏WIN APIGetDCBitBltICONINFO结构体编码实现运行效果 功能技术模块 病毒木马的入侵并潜伏在用户计算机上总是有着某种目的,例如获取用户隐私的办公文件或是账号密码,或是控制肉鸡,或是进行加密磁盘文件然后进行勒索。 桌面截屏 对用户桌面进行截屏,获取截屏...

2020-04-23 19:35:51 908 3

原创 windows黑客编程系列(七):文件遍历之查找用户敏感文件
原力计划

文章目录功能技术模块文件遍历WIN APIFindFirstFileFindNextFileFindCloseWIN32_FIND_DATA结构体说明编码实现运行效果 功能技术模块 病毒木马的入侵并潜伏在用户计算机上总是有着某种目的,例如获取用户隐私的办公文件或是账号密码,或是控制肉鸡,或是进行加...

2020-04-22 22:23:37 1138 8

原创 windows黑客编程系列(六):进程遍历之查询系统是否运行杀软
原力计划

文章目录功能技术模块进程遍历WIN APICreateToolhelp32SnapshotProcess32FirstPROCESS32Next编码实现运行效果图判断是否存在杀软运行效果 功能技术模块 病毒木马的入侵并潜伏在用户计算机上总是有着某种目的,例如获取用户隐私的办公文件或是账号密码,或是...

2020-04-22 17:41:33 888 13

原创 利用AI+大数据的方式分析恶意样本(十二)
原力计划

介绍常见的几种对抗攻击方式针对恶意代码分类器进行攻击以及防御方法

2020-04-21 22:51:29 987 9

原创 利用AI+大数据的方式分析恶意样本(五)
原力计划

文章目录系列文章目录本文主旨构建基于机器学习的检测引擎步骤收集样本提取特征训练模型模型测试常用的机器学习算法逻辑回归定义回归与分类的区别局限k-近邻算法算法原理参数选择算法步骤决策树算法算法步骤要点随机森林算法 系列文章目录 《利用AI+大数据的方式分析恶意样本(一)》:通过四种方法静态分析恶意...

2020-04-19 22:59:44 361 7

原创 windows黑客编程系列(五):添加快速启动目录之自启动
原力计划

对于一个病毒木马来说,重要的不是如何进行破坏,还有如何执行。病毒木马只有加载到内存中开始运行,才能够真正体现破坏力。否则,它就只是一个普通的磁盘文件,对于计算机用户的数据,隐私构不成丝毫的威胁。 自启动技术主要包括四种: 注册表 快速启动目录 计划任务 系统服务 本文中主要介绍快速启动目录

2020-04-18 11:28:03 1279 10

原创 windows黑客编程系列(四):修改注册表键值对之自启动
原力计划

对于一个病毒木马来说,重要的不是如何进行破坏,还有如何执行。病毒木马只有加载到内存中开始运行,才能够真正体现破坏力。否则,它就只是一个普通的磁盘文件,对于计算机用户的数据,隐私构不成丝毫的威胁。 自启动技术主要包括四种: 注册表 快速启动目录 计划任务 系统服务

2020-04-17 22:45:52 1170 9

原创 windows黑客编程系列(三):启动技术
原力计划

文章目录启动技术创建进程APIWinexec参数说明:返回值示例程序ShellExecute参数返回值示例程序CreateProcess参数返回值示例程序小结 启动技术 病毒木马植入模块成功植入计算机之后,便会启动攻击模块来对用户计算机数据实施窃取和回传等操作。通常植入和攻击是分开在不同的模块之中...

2020-04-14 10:59:52 905 2

原创 利用哈夫曼编码压缩文本
原力计划

文章目录使用哈夫曼编码进行压缩文本文本内容读取文件内容至内存中遍历文本内容,获取每个字符对应出现概率值建立哈夫曼树获取哈夫曼编码将转换后的编码写入新文件检测压缩率利用编码文件进行还原文本完整code 使用哈夫曼编码进行压缩文本 文本内容 Even though neural network-bas...

2020-04-12 16:27:21 421 4

原创 windows黑客编程系列(二):DLL延迟加载和资源释放
原力计划

文章目录windows黑客编程系列资源释放资源插入进行资源提取期间遇到的小问题DLL延迟加载如何进行DLL文件的延迟加载 windows黑客编程系列 对VS及windows编程太生硬了,每一步操作都得找好久。 资源释放 病毒木马之所以会广泛使用资源释放技术,是因为它可以使程序变得更简洁。 如果程...

2020-04-12 13:48:14 1702 3

原创 科恩论文阅读:Semantic-Aware Neural Networks for Binary Code Similarity Detection
原力计划

Order Matters: Semantic-Aware Neural Networks for Binary Code Similarity Detection //基于语义感知神经网络的二进制代码相似性检测 文章目录Order Matters: Semantic-Aware Neural N...

2020-03-31 09:56:45 690 5

原创 IDApython学习笔记(一)
原力计划

文章目录IDApython 简介安装测试背景基础 IDApython 简介 安装 需提前安装python2.7 ida pro7.0 百度网盘链接 链接:https://pan.baidu.com/s/1XQX1w8QgFGQMef6jSaCnBQ 提取码:xe1t 可直接下载使用,无需配置 测试...

2020-03-29 10:49:08 371 6

原创 latex语法学习(二)

文档和语言的结构 如果排版风格反映了内容的逻辑和语义结构,读者就能看见和感觉到文章的这种脉络。 在latex中段落是最重要的文档单位,我们之所以称之为“文档单位”,因为段落是反映一个连贯思想或观点的排版风格形式。 断行和分页 通常每一段的第一行有缩进,在两段之间没有额外的间隔。 在特殊情况下,有必...

2020-03-29 10:41:31 165 0

原创 利用AI+大数据的方式分析恶意样本(四)
原力计划

文章目录系列文章目录本文主旨分析windows程序的必备知识恶意代码功能下载器和启动器后门登陆凭证窃取存活机制提权隐藏踪迹——用户态的Rootkit环境配置预备知识节点和边二分网络网络可视化使用NetworkX构建网络使用GraphViz可视化进阶操作添加属性GraphViz使用参数调整网络构建恶...

2020-03-23 13:28:12 441 14

原创 利用AI+大数据的方式分析恶意样本(三)
原力计划

系列文章目录 《利用AI+大数据的方式分析恶意样本(一)》:通过四种方法静态分析恶意软件 《利用AI+大数据的方式分析恶意样本(二)》:x86架构反汇编基本原理及实践 《利用AI+大数据的方式分析恶意样本(三)》:通过动态运行恶意软件来解析其功能 《利用AI+大数据的方式分析恶意样本(四)》:通过...

2020-03-22 12:37:10 933 3

原创 利用AI+大数据的方式分析恶意样本(二)
原力计划

系列文章目录 《利用AI+大数据的方式分析恶意样本(一)》:通过四种方法静态分析恶意软件 《利用AI+大数据的方式分析恶意样本(二)》:x86架构反汇编基本原理及实践 《利用AI+大数据的方式分析恶意样本(三)》:通过动态运行恶意软件来解析其功能 《利用AI+大数据的方式分析恶意样本(四)》:通过...

2020-03-20 11:46:27 1094 1

原创 利用AI+大数据的方式分析恶意样本(一)
原力计划

本文提供四种静态分析恶意软件的方法 环境及工具安装 Ubuntu16 python 2 strings(系统自带) icountils(参照下面命令安装) pefile(python 库) capstone(python 库)(线性反汇编库) pip2 install pefile pip2 ...

2020-03-18 19:52:10 1179 12

原创 latex语法学习(一)基本知识

安装 Texlive 2019 TeX studio 空白距离 tex源码中的空白距离无论多大都会等同于一个空白字符,每行开始的空白字符将会忽略,而单个的回车符被视为一个空格。 空行结束段落,多个空行的作用和一个空行作用相同。 特殊字符 以下这些字符为LATEX的保留字符,他们在latex...

2020-03-09 21:43:57 258 0

原创 windows黑客编程系列(一):运行单一实例

windows黑客编程系列一 由于课题需要,不得不转行windows PE文件的研究,需要接触windows黑客编程。 新建windows编程系列笔记,待课题结束,回归ELF。 使用codeblocks新建一个win32 GUI程序 打开codeblocks -> create a new ...

2020-03-09 12:08:07 3021 2

转载 动态链接的延迟绑定

本文转自公众号平凡路上,原文链接 原理 针对动态链接会减速程序运行速度的现状,操作系统实现了延迟绑定(Lazy Binding)的技术:函数在第一次被调用时才对函数进行绑定。通过延迟绑定大大加快了程序的启动速度。 而ELF则使用了PLT(Procedure Linkage Table,过程链接表...

2020-03-02 19:35:21 335 0

原创 花式栈溢出技巧之stack smash

原理 在程序添加了canary保护后,如果我们读取的buffer覆盖了对应的值时,程序就会报错,而我们一般并不会关心报错信息。 但stack smash技巧则是利用打印这一信息的程序得到我们想要的内容。 这是因为程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__st...

2020-03-01 18:29:51 492 0

原创 二进制学习基础文章整理(后续一直更新)

二进制、栈溢出入门笔记整理 以下是我入门二进制的一些笔记整理链接,特此整理出来,方便自己查阅,也方便读者阅读。 必备知识 《linux程序的常用保护机制》 《PLT表和GOT表学习》 《ELF文件格式学习》 《动态链接的延迟绑定》 《pwntools使用教程》 《ctf wiki pwn(入门实...

2020-03-01 10:53:40 3102 4

原创 花式栈溢出技巧之frame faking

frame faking 构造一个虚假的栈帧来控制程序的执行流 原理 之前所讲的栈溢出不外乎两种方式: 控制程序EIP 控制程序EBP 其最终都是控制程序的执行流。在frame faking中,我们所利用的技巧辨是同时控制EBP和EIP,这样我们在控制程序执行流的同时,也改变程序栈帧的位置。 ...

2020-02-29 19:25:36 1582 3

原创 栈溢出之ELF文件格式学习

ELF文件 ELF文件格式最前部ELF文件头,包含了整个文件的基本属性,比如ELF版本,目标机器型号,程序入口地址等。其中ELF文件与段有关的重要结构就是段表。 ELF文件格式 可重定向文件:包含代码和适当的数据,用来和其他的目标文件一起来创建一个可执行性文件或者是一个共享目标文件 可执行文件:...

2020-02-28 14:07:33 396 1

原创 使用阿里云服务器搭建一道BROP的pwn题

搭建题目环境 题目:HCTF2016 brop C代码如下: #include <stdio.h> #include <unistd.h> #include <string.h> int i; int check(); int main(void) { ...

2020-02-26 11:37:21 418 0

原创 中级ROP之BROP

Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重...

2020-02-25 12:23:30 1495 2

原创 中级ROP之ret2reg

ret2reg 原理 查看栈溢出返回时哪个寄存器指向缓冲区空间。 查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。 将寄存器所指向的空间上注入shellcode(确保该空间是可以执行的,通常是栈上的) 利用思路 分析和调试汇编,查看溢出函数返回时哪个寄存器指向缓冲...

2020-02-23 19:01:51 1300 2

原创 中级ROP之ret2csu

ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用li...

2020-02-22 18:52:05 2628 4

原创 Bugku pwn5 WP

下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/bugku/human' Arch: amd64-64-little RELRO: Partial RELRO Stack: No c...

2020-02-19 13:02:20 470 0

原创 Bugku pwn4 WP

下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No can...

2020-02-18 21:39:47 306 0

原创 花式栈溢出技巧之stack pivoting

原理 正如它描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后在相应位置进行ROP。一般来说,我们可能在下述情况使用劫持栈指针。 可以控制栈溢出的字节数较少,难以构造较长的ROP链。 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其他漏洞难以利用,需要进行转换,比如将栈...

2020-02-18 12:04:27 361 1

提示
确定要删除当前文章?
取消 删除