公告 [置顶] 如何当一个合格的白帽子-入门指南 在所有之前 白帽子只是一个概念 一个"为了避免说自己是黑客让其他人嘲笑或者让人觉得这是不好的东西"的词 对于目前2020年的网络安全环境,本网站还是遵循以前的人规则,想学技术可以,先了解刑法,避免堕入黑产深渊 [学习刑法入口](https://key08.com/index.php/2019/11/06/%E7%99%BD%E5%B8%BDwiki.html "学习刑法入口") =》点击下面的 查看更多 了解更多 阅读全文 2020-12-16 huoji 5 条评论
工具软件二进制安全 [2024]peupdate - 一个修改任意PE的PDB路径的工具 使用方法: ```cpp peupdate -u "假的pdb信息" "要修改的文件路径" ``` ![](https://key08.com/usr/uploads/2024/05/2570303881.png) 建议把PDB改成海联花的在[审查]的时候, 这样对方安全设备报警会报APT: ```cpp t:\word\x86\ship\0\winword.pdb ``` 下载: [peupdate.zip](https://key08.com/usr/uploads/2024/05/981008736.zip) 阅读全文 2024-05-11 huoji 0 条评论
C/C++ [2024]imgui win11主题 作者是 @pdig06 由于没有github(有github我会直接star)这边就下一份存着 ![](https://key08.com/usr/uploads/2024/05/1368801555.png) ![](https://key08.com/usr/uploads/2024/05/4288364990.png) ![](https://key08.com/usr/uploads/2024/05/1641003780.png) [winimgui.zip](https://key08.com/usr/uploads/2024/05/4155416155.zip) 阅读全文 2024-05-08 huoji 0 条评论
工具软件 [2024]制作任意签名者的数字签名证书 ### 简介 自制证书,CA链不可信. 一般这种证书在软件开发领域是为了测试目的,在没加入系统证书之前,是**不可信的**,这个工具很常见,软件开发领域非常常见的工具 阅读全文 2024-05-08 huoji 0 条评论
APT研究 [2024]用EDR剖析流行黑产组织对抗安全软件的多重手段 ### 文章总结 本文介绍了在日常巡查中发现的一个虚假WPS官网,该网站被用来投放含有gh0st远控功能的恶意软件。这一行为被认定为“银狐”黑产组织所为。与以往不同的是,这个样本采用了多种安全软件对抗技术,成功绕过了大多数基于HIPS的安全软件的防御机制。 技术分析部分指出,样本对杀毒软件进行了免杀处理,目前只有三个杀毒软件能够检测到其为恶意软件。样本使用了一种更高级的虚假数字签名技术,这种签名对文件本身是可信的,但对签名链不可信,因此能够规避一些基于文件签名信任的杀毒引擎。 在持久化方面,样本会在启动后立即通过白加黑的方法加载恶意DLL,并创建服务等待下次重启。防御规避方面,样本会在用户重启电脑时以服务方式启动,并使用DLL侧加载方式劫持白名单文件,最终通过镜像篡改的方式启动注入器,给系统进程注入恶意代码,并连接C2服务器进行远控操作。 文章还提到了使用EDR进行分析的便利性,EDR能够标注恶意行为,从而无需对代码进行分析,只需观察行为即可。 最后,文章提供了相关的IOC列表,以及原文章的链接,供进一步的研究和分析。 阅读全文 2024-05-02 huoji 2 条评论
APT研究系统安全二进制安全 [2024]复现Storm-0978的"EDR的梦魇"踩的坑 刚发布那会,这玩意被吹的神乎其神,于是乎进行了一波复现,发现过程非常多的坑.于是记录一下 免责一下,本人没样本,纯靠qax给的信息复现,有些思路可能是错的 **当然,不会给POC和任何代码.只能跟你们说一下思路.** 阅读全文 2024-04-28 huoji 0 条评论
系统安全 [2024]一些获得病毒样本的渠道 有些时候在做安全研究或者机器学习的时候需要用到样本,但是苦于没有数据源,VT的又太贵,这边搜集了几个VT同等的廉价替代品.适合个人研究杀毒引擎之类的 https://www.virussign.com/index.html -免费,需要给作者发邮件,跟VT同步.廉价高质量的获取方式 https://bazaar.abuse.ch/upload/ -免费的病毒样本分享网站,带API.但是作者讨厌中国人,所以需要挂代理,这里面的数据跟VT不同步 来自社区用爱发电 https://virusshare.com/ -只需要给作者发邮件赞助几百元就能获得每天的VT的病毒样本.最廉价高质量的获取方式.推荐这个,之前做鸭鸭杀毒引擎的时候就是用他们家的.还贴心的帮你分好类了. 阅读全文 2024-04-28 huoji 0 条评论
APT研究系统安全二进制安全 [2024]黑产组织伪造WindTerm工具官网投放白加黑远控后门 ### 简介 戎码安全公众号发的那个图片太小了,图片也比较模糊,这边发一个偏重技术的并且配上高清图 原来的公众号地址: https://mp.weixin.qq.com/s/hxIih2bJ4lPUGjxJviEahA ### 虚假的官网 截至发文前,在搜索引擎搜索windterm(**无论是国内还是国外的**),极大概率首页前五是银狐伪造的官网windterm: ![](https://key08.com/usr/uploads/2024/04/787982916.png) 伪造的页面也基本是之前伪造的finalshell模板: ![](https://key08.com/usr/uploads/2024/04/562805419.png) 之前银狐组织伪造的finalshell官网: ![](https://key08.com/usr/uploads/2024/04/2133877828.png) ### 技术手法分析 样本静态对杀毒软件做了免杀处理,在VT上只有两个杀毒软件报毒: 阅读全文 2024-04-13 huoji 0 条评论