爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

记一次DarkCrystal木马投毒分析

# DarkCrystal木马投毒分析技术文档 ## 1. 样本概述本次分析的样本为DarkCrystal RAT（远程访问木马），攻击者使用了多种高级技术手段进行投毒和隐藏。 ### 初始样本信息 - 文件名：Solara.exe - 伪装身份：Solara脚本编辑器 - 实际性质：.NET dropper（投放器） ## 2. 样本投放机制 ### 2.1 初始投放文件 dropper会根据硬编码规则释放四个文件到指定目录并运行： | 文件名 | 功能描述 | |-------

2025-08-29 20:31:17

free源码调试分析

# Glibc堆管理机制深入分析与利用技术 ## 1. main_arena结构概述 main_arena是glibc堆管理中的核心数据结构，负责管理所有非mmap分配的内存块。它包含了多个bin链表头，用于管理不同大小的空闲内存块。 ## 2. free_hook机制分析 ### 2.1 free_hook基本功能 - 在glibc-2.34之前，free函数会首先检查`__free_hook`是否存在指针 - 如果存在，则直接跳转到该指针指向的函数执行，并将释放的chunk地址作为第

2025-08-29 20:30:23

基于GRUB2的Bootkit：疑似与NSA方程式组织关联的新型恶意软件威胁

# GRUB2 Bootkit恶意软件分析与复现技术文档 ## 1. 概述本技术文档详细分析了一款基于GRUB2的Bootkit恶意软件，该软件疑似与NSA方程式组织有关联。文档包含恶意软件的功能分析、技术细节、复现方法以及防御建议。 ## 2. 样本基本信息 - **发现来源**：Unit42安全团队《Off the Beaten Path: Recent Unusual Malware》报告 - **样本类型**：Bootkit程序 - **签名信息**：由美国密西西比大学使用无效

2025-08-29 20:29:17

Syscall原理及其地狱之门家族代码详解

# Syscall原理及其地狱之门家族代码详解 ## 1. Syscall基础原理 ### 1.1 什么是Syscall 系统调用(Syscall)是用户空间程序与内核空间交互的标准接口，允许用户态程序请求内核服务，如文件操作、进程控制、网络通信等。 ### 1.2 Syscall工作流程 1. **用户态准备参数**：将系统调用号和参数放入特定寄存器 2. **触发中断/特殊指令**：通过`int 0x80`(传统)、`sysenter`/`syscall`(现代)等方式进入内核 3

2025-08-29 20:27:59

java反序列化 cc3学习

# Java反序列化CC3利用链分析与学习 ## 前置知识 ### 动态类加载机制 CC3利用链的核心是通过加载字节码再`newInstance()`实例化对象来执行命令，这与CC1通过反射实例化对象有所不同。 #### defineClass()方法 `defineClass()`是`ClassLoader`类的一个保护方法(protected)，其作用是将一段包含合法Java字节码的字节数组转换成JVM能识别的`Class`对象。关键点： - 字节码数据通常来自.class文件

2025-08-29 20:26:30

某黑产最新攻击链样本分析

# 银狐黑产攻击链样本分析教学文档 ## 一、攻击概述银狐黑产团伙近年来非常活跃，主要特点包括： - 持续更新攻击样本 - 采用多种免杀技术逃避检测 - 主要使用修改版Gh0st远控作为攻击武器 - 通过远程控制受害者主机实施网络犯罪 ## 二、完整攻击链分析 ### 1. 初始阶段：BAT脚本攻击链始于一个BAT脚本，该脚本的主要功能是从远程服务器下载JS恶意脚本。 ### 2. 第一阶段：JS脚本下载与执行 - 从远程服务器下载第一个JS恶意脚本 - 脚本包含加密内容，执行时会

2025-08-29 20:24:55

银狐黑产组织最新Loader攻击样本分析

# 银狐黑产组织最新Loader攻击样本分析 ## 前言概述银狐黑产组织是一个活跃的网络犯罪团伙，近期他们开发并部署了一种新型Loader攻击样本。本文将对这一最新Loader攻击样本进行详细的技术分析，揭示其工作原理、攻击手法和防御策略。 ## 样本分析 ### 1. 样本基本信息 - 发布时间：2025年5月4日 - 分析作者：熊猫正正 - 所属领域：二进制安全 - 浏览量：1068次 ### 2. 技术特点 #### 2.1 加载机制 - 采用多阶段加载方式，避免一次性加载全

2025-08-29 20:24:23

带正常数字签名的后门样本分析

# 带正常数字签名的后门样本分析教学文档 ## 1. 样本概述该样本是一个使用正常数字签名的高级后门程序，具有以下特点： - 使用合法的数字签名绕过基础安全检测 - 采用模块化设计，关键功能通过外部文件动态加载 - 使用多层加密技术隐藏恶意行为 - 具备持久化、权限提升和C2通信能力 ## 2. 样本基本信息 ### 2.1 文件信息 - **编译时间**：2025年4月28日 - **编程语言**：C/C++ - **PDB路径**： - `D:\Workspace\Holdin

2025-08-29 20:13:34

任意代码保护 (ACG)

# Windows Arbitrary Code Guard (ACG) 绕过技术分析 ## 1. ACG 概述 Arbitrary Code Guard (ACG) 是 Windows 系统的一种安全缓解策略，旨在防止恶意代码在进程内存中创建或修改可执行代码页。 ### 1.1 ACG 主要限制 - **代码页不可变性**： - 现有进程代码页无法变为可写 - 禁止使用 `VirtualProtect` 将图像代码页改为 `PAGE_EXECUTE_READWRITE`

2025-08-29 20:12:32

多阶段DarkCloud Stealer分析与溯源反制

# DarkCloud Stealer多阶段分析与溯源反制技术文档 ## 1. 概述 DarkCloud Stealer是一款由VC6编写的信息窃取恶意软件，采用多阶段反射加载技术绕过杀毒软件检测。本文档详细分析其攻击链、技术实现及有效的溯源反制方法。 ## 2. 初始样本分析 ### 2.1 样本特征 - 文件名伪装：如"新购买订单"等诱导性名称 - 开发平台：.NET WinForms应用程序 - 加载方式：反射加载技术 ### 2.2 恶意代码注入点 - 位于`Form1.Ini

2025-08-29 20:11:39

Stack Spoof-堆栈欺骗

# Stack Spoof - 堆栈欺骗技术详解 ## 1. 背景知识在Windows x86_32架构中，函数使用EBP（扩展基址指针）记录栈帧地址（调用者地址）。但在x86_64架构中： - 主要使用RSP（栈指针）同时作为"栈顶指针"和"帧指针" - 某些情况下仍会使用RBP（帧指针）： - 动态栈分配 - 异常处理 - 需要稳定栈指针的场景 x86_64下无法通过EBP进行栈展开，改用PE文件中.pdata节的UNWIND信息表，其中记录了： - 每个函数的起止地址

2025-08-29 20:10:44

Bottle框架的ssti、内存马、污染深入浅出

# Bottle框架安全漏洞深入分析：SSTI、内存马与原型链污染 ## 1. Bottle框架SSTI漏洞分析 ### 1.1 基本模板语法 Bottle框架自带SimpleTemplate引擎，支持多种模板语法： - `{{}}`：标准模板语法 - ``：替代语法 - `%`：简化语法（需要换行符分隔） **注意**：当模板内容嵌入普通文本中（无换行符分隔）时，`<%`或`%`会被视为普通文本直接输出。 ### 1.2 特殊字符绕过技术在Bottle SSTI中，发现可

2025-08-29 20:09:28

跳转到页