爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

样本分析-DarkComet远控木马

# DarkComet远控木马技术分析与防御指南 ## 1. DarkComet概述 DarkComet是一种功能强大的远程访问木马(RAT)，具有以下主要特征： - **隐蔽运行**：以隐蔽方式在受害者系统中运行 - **信息窃取**：收集系统数据、用户凭据、密码等敏感信息 - **持久控制**：允许攻击者长期控制受感染设备 - **扩展功能**：可安装其他恶意软件或将设备纳入僵尸网络 - **防御规避**：能够禁用防病毒软件等安全功能 ### 传播方式 - 与免费软件捆绑分发 - 伪

2025-08-21 07:40:36

记一次RAT的感染过程详细分析

# AsyncRAT感染过程分析与防御指南 ## 1. AsyncRAT概述 AsyncRAT是一种远程访问木马(RAT)，旨在秘密渗透系统并让攻击者远程控制受感染的设备。本文档详细分析两种AsyncRAT样本的感染过程，帮助安全人员了解其工作原理并制定防御策略。 ## 2. 样本一感染过程分析 ### 2.1 初始感染载体样本一伪装成TXT文件，实际上是经过混淆的VBS脚本： 1. **混淆技术**：使用随机变量名和字符串拼接来隐藏真实意图 2. **核心功能**：下载伪装为JP

2025-08-21 07:39:36

webpwn的一些总结

# Web PWN 基础与实战总结 ## 一、Socket 套接字基础 ### 1. 基本概念套接字是网络编程中的通信机制，是支持 TCP/IP 网络通信的基本操作单元，可以看作是不同主机之间进程进行双向通信的端点。 **关键要素：** - **IP 地址**：源 IP 标识发送方区域，目的 IP 标识接收方具体位置 - **端口号**：16 位整数，标识主机上的特定进程 - 一个端口号只能被一个进程占用 - IP + 端口号能唯一标识网络上的某一主机的某一进程 ### 2.

2025-08-21 07:38:24

llvm pass 初探

# LLVM Pass 开发指南 ## 一、LLVM 基础概念 LLVM 最初是 "Low Level Virtual Machine" 的缩写，但现在已发展为一个编译器基础架构(infrastructure)。它不是一个完整的编译器，而是将编译器所需功能以模块化形式实现并包装成库。现代编译器通常分为三个部分： 1. **前端(Frontend)**：将高级语言代码转换为中间表示(IR) 2. **优化层(Optimization)**：对IR进行分析和优化 3. **后端(Backe

2025-08-21 07:37:32

一次红队恶意程序分析溯源

# 恶意程序分析溯源教学文档 ## 一、恶意程序概述该恶意程序通过伪装成二维码图片诱导用户双击执行，具有持久化、反调试、DLL劫持等多种恶意行为特征，最终连接远程C2服务器实现远控功能。 ## 二、恶意行为分析 ### 1. 持久化机制 **注册表修改行为：** - 修改`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit` - Userinit是Windows登录流程

2025-08-21 07:36:52

免杀基础-shellcode开发

# Shellcode开发基础与免杀技术详解 ## 1. Shellcode基础概念 Shellcode是一段位置无关的代码(Position Independent Code, PIC)，它不依赖外部环境，遵循以下规则： - 不能使用全局变量 - 不能使用常量字符串 - 不能直接调用Windows API ## 2. Shellcode开发原理 ### 2.1 传统API调用的问题直接调用Windows API如`MessageBox`是不可行的，因为： - ASLR(地址空间布局

2025-08-21 07:36:22

boofuzz 中的 Request 和 Path 源码分析

# Boofuzz 中的 Request 和 Path 源码分析与使用指南 ## 1. Request 生成策略 ### 1.1 基本概念在 boofuzz 中，测试用例被称为 Request（数据包），每个 Request 包含多个字段，称为 Primitive（原语）。每个 Primitive 都有自己的生成策略（fuzz 策略）。 ### 1.2 生成策略工作机制 **问题**：当一个 Request 包含多个不同的 Primitive 时，它们的生成策略如何协同工作？ **

2025-08-21 07:25:24

x86汇编与编写shellcode

# x86汇编与Shellcode编写全面指南 ## 1. x86汇编基础 ### 1.1 寄存器系统现代x86处理器(386及更高版本)具有8个32位通用寄存器： - **EAX**：累加器(Accumulator)，常用于算术运算 - **EBX**：基址寄存器(Base) - **ECX**：计数器(Counter)，用于循环计数 - **EDX**：数据寄存器(Data) - **ESI**：源索引寄存器(Source Index) - **EDI**：目的索引寄存器(Dest

2025-08-21 07:24:17

免杀基础-线程劫持

# 线程劫持(Thread Hijacking)技术详解 ## 1. 线程劫持概述线程劫持(Thread Hijacking)是指攻击者通过某种方式劫持线程的执行流从而执行shellcode的技术。其核心思想是利用暂停目标线程、修改上下文来控制其执行流。 ## 2. 线程上下文基础线程上下文指的是一个线程在执行时所需的所有信息集合，包括线程的寄存器和堆栈。关键API： - `GetThreadContext` - 获取线程上下文 - `SetThreadContext` - 修改

2025-08-21 07:22:53

Ptmalloc2源代码分析（Glibc内存管理）

# Ptmalloc2 内存管理机制深入解析 ## 1. Linux 进程内存布局基础 ### 1.1 内存区域划分 - **加载段**：ELF 程序加载时依次载入.text、.data、.bss段 - **栈区域**：从高地址向下生长，是唯一不需要映射即可访问的内存区域 - **堆区域**：从.bss段向上生长 - **mmap区域**：从栈底向下生长，与堆相对扩展 ### 1.2 关键系统调用 - **堆操作**： - `brk()`：调整program break位置 - `

2025-08-21 07:21:55

House Of Corrosion与House Of Husk的交叉利用

# House Of Corrosion与House Of Husk交叉利用技术详解 ## 一、House Of Corrosion攻击技术 ### 1. 基本原理 House Of Corrosion是一种通过攻击`main_arena`结构体中的`fastbinY`数组来实现利用的攻击技术。 `main_arena`结构体关键部分： ```c struct malloc_state { int mutex; int flags; int have_fastch

2025-08-21 07:20:45

深入探索：利用 io_uring 实现高效的 Shellcode 攻击

# 利用 io_uring 实现高效的 Shellcode 攻击技术详解 ## 1. io_uring 技术基础 ### 1.1 io_uring 概述 io_uring 是 Linux 内核于 2019 年引入的一种新型异步 I/O 模型，旨在通过减少系统调用和上下文切换的开销来显著提高 I/O 操作性能。其核心特点包括： - 使用环形缓冲区实现高效的事件驱动机制 - 支持批量提交和完成 I/O 操作 - 减少用户态与内核态之间的数据拷贝 - 提供高性能的异步 I/O 操作接口 ##

2025-08-21 07:19:57

跳转到页