安全技术 | Zeronohacker

11月26日 · 2020年

使用 VBA Purging 的恶意文档

VBA Purging VBA Stomping

38 0 0

我们发现在有些恶意 Office 文档中仅包含 VBA 源代码，而没有包含已编译的代码，像这种的可能在逃避反病毒软件检测，我们将这种技术称之为 VBA Purging .........

11月23日 · 2020年

自定义 C2-Frameworks 来逃避 AV 检测

C2-Frameworks Covenant

98 0 0

这篇文章将会给大家阐述如何修改 Command & Control (C2) Frameworks 源码并加以利用从而逃避 AV 检测 .........

8月31日 · 2020年

恶意文档使用 Windows API 进行 Process hollowing

Process hollowing 恶意软件

164 0 0

恶意软件作者通常喜欢在 Office 文档中使用宏技术来替换系统中正常可执文件中的代码，这种技术称之为 Process hollowing。这篇文章的主要目的是识别这种技术并了解其使用方法，我还在 YouTube 上发布了一段视频，这段视频介绍了如何使用 Ghidra 进行 shellcode 分析...

6月5日 · 2020年

x64 进程注入技术 —— NINA

NINA 进程注入

382 4 0

在本文中，我将详细介绍一种实验性的进程注入技术，其中对比较通用的和“危险”函数使用施加了严格的限制，即 WriteProcessMemory.........

4月29日 · 2020年

卷影副本删除方法再研究

VSS WMI 勒索软件卷影副本

242 0 0

在最近几年，勒索软件对组织机构来说成了一种非常大的威胁，并给其造成了巨大的损失，估计达数十亿美元。为了提高勒索成功率，勒索软件执行的常见操作是擦除卷备份（即卷影副本），从而阻止受害者恢复已加密的任何文件。...

4月18日 · 2020年

从一个野外 office 样本分析中学习 Excel 4.0 marco

Excel 4.0 marco

271 0 0

今日在野外获得一个特别有意思的 office 样本（Excel 文档），这个样本运用了 Excel 4.0 marco 技术，并且还隐藏了。由于自己对 Excel 4.0 marco 技术不是太深入了解，所以打算趁此在周末好好学习下 Excel 4.0 marco。在开始之前，我们先聊下 Excel 4.0 marco。...