Windows

Windows操作系统在判断进程镜像FILE_OBJECT的位置时存在不一致性,这就会影响非EDR终端安全解决方案在检测恶意进程代码时的能力。也正是这种不一致性,促使McAfee研发了出了一中新型的后渗透绕过技术,我们将这种技术称之为“进程重镜像”。
我了解漏洞的一种方法是弄清楚如何创建它和攻破它。这就是我们今天要做的。由于堆内存损坏是一个非常有破坏力的问题,所以让我们从Windows 10上的堆溢出开始。
紧跟前一篇文章,本文将进一步研究COM对象搜索方法,通过COM对象公开的属性以及子属性来寻找比较有趣的COM对象方法。
安全研究员兼利用开发人员 SandEscaper 又公开了 Windows 的一个 0day 详情和 PoC,可导致普通用户的权限提升为管理员权限。攻击者可借此安装程序,查看、改变或删除数据。
FireEye对Windows 7和10系统上可用的COM对象进行了研究。我们发现了几个有趣的COM对象,这些对象可以用于计划任务、无文件下载执行以及命令执行。
虽然软件逆向可以用于合法场景,但也可能被黑客用于非法活动。Apriorit的研究及逆向团队决定与大家分享在这方面的专业经验,也会分享常用的一些简单和高级技术,大家可以使用这些技术避免自己的软件被非法逆向。
该作者是国外著名的恶意软件研究安全员,在漏洞爆发之初就开始投入到该漏洞的研究过程中。大概在漏洞公开一周后,他就在twitter上开始分享自己的研究成果,知道5月31号github上公开了蓝屏poc,他才在公开了自己的研究报告。
虽然软件逆向可以用于合法场景,但也可能被黑客用于非法活动。Apriorit的研究及逆向团队决定与大家分享在这方面的专业经验,也会分享常用的一些简单和高级技术,大家可以使用这些技术避免自己的软件被非法逆向。
2019年5月21日,sandboxescaper在github上传了一份win10任意文件删除的0Day代码:https://github.com/SandboxEscaper/polarbearrepo,这是从2018年8月开始sandboxescaper发布的第五个0Day。
上次的文章中我们着重探讨了导入函数和导出函数的具体过程,这篇文章就把剩余的PE结构进行一下详细的总结,并在我们已经学过的知识的基础上进行简单的PE变形技术,为我们后期写壳做好充分准备。