安全技术

从一个野外 office 样本分析中学习 Excel 4.0 marco

安全技术

x64 进程注入技术 —— NINA

安全技术

使用 VBA Purging 的恶意文档

安全技术

恶意文档使用 Windows API 进行 Process hollowing

安全技术

自定义 C2-Frameworks 来逃避 AV 检测

11月26日 · 2020年

使用 VBA Purging 的恶意文档

38 0
我们发现在有些恶意 Office 文档中仅包含 VBA 源代码,而没有包含已编译的代码,像这种的可能在逃避反病毒软件检测,我们将这种技术称之为 VBA Purging .........
11月23日 · 2020年

自定义 C2-Frameworks 来逃避 AV 检测

98 0
这篇文章将会给大家阐述如何修改 Command & Control (C2) Frameworks 源码并加以利用从而逃避 AV 检测 .........
8月31日 · 2020年

恶意文档使用 Windows API 进行 Process hollowing

164 0
恶意软件作者通常喜欢在 Office 文档中使用宏技术来替换系统中正常可执文件中的代码,这种技术称之为 Process hollowing。这篇文章的主要目的是识别这种技术并了解其使用方法,我还在 YouTube 上发布了一段 视频,这段视频介绍了如何使用 Ghidra 进行 shellcode 分析...
6月5日 · 2020年

x64 进程注入技术 —— NINA

382 0
在本文中,我将详细介绍一种实验性的进程注入技术,其中对比较通用的和“危险”函数使用施加了严格的限制,即 WriteProcessMemory.........
4月29日 · 2020年

卷影副本删除方法再研究

242 0
在最近几年,勒索软件对组织机构来说成了一种非常大的威胁,并给其造成了巨大的损失,估计达数十亿美元。为了提高勒索成功率,勒索软件执行的常见操作是擦除卷备份(即卷影副本),从而阻止受害者恢复已加密的任何文件。...
4月18日 · 2020年

从一个野外 office 样本分析中学习 Excel 4.0 marco

271 0
今日在野外获得一个特别有意思的 office 样本(Excel 文档),这个样本运用了 Excel 4.0 marco 技术,并且还隐藏了。由于自己对 Excel 4.0 marco 技术不是太深入了解,所以打算趁此在周末好好学习下 Excel 4.0 marco。在开始之前,我们先聊下 Excel 4.0 marco。...