![[源码分析]利用WSC服务注册假杀软组件以关闭windows defender](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAIAAAHncGNIAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAA4RpVFh0WE1MOmNvbS5hZG9iZS54bXAAAAAAADw/eHBhY2tldCBiZWdpbj0i77u/IiBpZD0iVzVNME1wQ2VoaUh6cmVTek5UY3prYzlkIj8+IDx4OnhtcG1ldGEgeG1sbnM6eD0iYWRvYmU6bnM6bWV0YS8iIHg6eG1wdGs9IkFkb2JlIFhNUCBDb3JlIDUuNi1jMDY3IDc5LjE1Nzc0NywgMjAxNS8wMy8zMC0yMzo0MDo0MiAgICAgICAgIj4gPHJkZjpSREYgeG1sbnM6cmRmPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5LzAyLzIyLXJkZi1zeW50YXgtbnMjIj4gPHJkZjpEZXNjcmlwdGlvbiByZGY6YWJvdXQ9IiIgeG1sbnM6eG1wTU09Imh0dHA6Ly9ucy5hZG9iZS5jb20veGFwLzEuMC9tbS8iIHhtbG5zOnN0UmVmPSJodHRwOi8vbnMuYWRvYmUuY29tL3hhcC8xLjAvc1R5cGUvUmVzb3VyY2VSZWYjIiB4bWxuczp4bXA9Imh0dHA6Ly9ucy5hZG9iZS5jb20veGFwLzEuMC8iIHhtcE1NOk9yaWdpbmFsRG9jdW1lbnRJRD0ieG1wLmRpZDo5ZDlhZmNmMS1kNTQ0LTY5NDUtOWY4ZS05YjMwMDIxMGQ5MzIiIHhtcE1NOkRvY3VtZW50SUQ9InhtcC5kaWQ6ODgxNzczMkE0QUEzMTFFNzkwQzNCQjY2NUM4RjRGOTciIHhtcE1NOkluc3RhbmNlSUQ9InhtcC5paWQ6ODgxNzczMjk0QUEzMTFFNzkwQzNCQjY2NUM4RjRGOTciIHhtcDpDcmVhdG9yVG9vbD0iQWRvYmUgUGhvdG9zaG9wIENDIDIwMTUgKFdpbmRvd3MpIj4gPHhtcE1NOkRlcml2ZWRGcm9tIHN0UmVmOmluc3RhbmNlSUQ9InhtcC5paWQ6ODRjYTMxZGUtYWI2Ny00NzRiLWE3MTYtNDAzMjgzMzViYjM4IiBzdFJlZjpkb2N1bWVudElEPSJhZG9iZTpkb2NpZDpwaG90b3Nob3A6YWZmZGE0NWUtNGFhMi0xMWU3LWIxYTUtODQ1OTVjOTcwYmRmIi8+IDwvcmRmOkRlc2NyaXB0aW9uPiA8L3JkZjpSREY+IDwveDp4bXBtZXRhPiA8P3hwYWNrZXQgZW5kPSJyIj8+71rJCwAAAAxJREFUeNpj/PDxEwAFrALVVAtrOgAAAABJRU5ErkJggg==)
原项目:https://github.com/es3n1n/no-defender 简要原理:Windows有一个WDC(Windows Security Center)服务,当安装了在微软那边注册了的杀软 ,会调用一个未公开的接口去更新杀软组件状态,同时关闭WDF。项目里的大佬就是通过逆向安全厂商软件(项目里是AVAST的wsc_proxy.exe),得到了这个API的细节。 loader逻辑
0*1
发表于 中国
· 868浏览 · 2024-07-22 07:45
.idata详解 前置信息 .idata节区是可执行文件中的一个常见节区,用于存储导入表(Import Table)的相关信息。 在可执行文件中,导入表用于记录程序需要从外部导入的函数和符号的信息。这些函数和符号通常是由其他模块(如动态链接库)提供的,程序在运行时需要通过导入表来获取这些函数和符号的地址,并进行调用或引用。 IMAGE_DATA_DIRECTORY 各节区的信息首次出现在IMAGE
Aking9
发表于 河南
· 629浏览 · 2024-07-19 15:47
引言 在数字娱乐的浩瀚海洋中,电子游戏以其独特的互动性和沉浸感,成为现代人生活中不可或缺的一部分。而在众多游戏类型中,策略塔防游戏以其独特的挑战性和策略性,赢得了广大玩家的喜爱。《植物大战僵尸》(Plants vs. Zombies)便是其中的佼佼者,以其独特的游戏设计和趣味性,风靡全球。 然而,对于游戏爱好者和开发者来说,游戏的内在机制和存储方式往往是神秘而引人入胜的。《从修改植物大战僵尸了解游
1461886022645831
发表于 四川
· 513浏览 · 2024-07-19 09:56
描述 GOM Player(Gretech Online Movie Player)是韩国的GRETECH开发的一款在Windows平台上的免费媒体播放器 软件下载:https://github.com/z1r00/Vulnerability_Analysis/tree/main/GOM_Player Poc: exploit = 'A' * 260 try: file = open("
z1r0
发表于 江苏
· 425浏览 · 2024-07-16 11:25
PE-前置知识 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件。 Windows操作系统下,可执行文件格式PE(Portable Executable)可以是“.exe文件”、“.sys文件”、“.com文件”等类型文件。 Linux操作系统下,可执行文件格式为ELF即Executable and Linkable Format. PE-Portable E
Aking9
发表于 河南
· 2235浏览 · 2024-07-08 15:28
我们先分析一下tcache chunk这个结构体(chunk进入了tcache bin时的结构体) 下面是libc 2.35源码中对进入到tcache bin的chunk使用的结构体 typedef struct tcache_entry { struct tcache_entry *next; /* This field exists to detect double frees. *
Feng_ZZ
发表于 广东
· 1255浏览 · 2024-07-06 14:06
原文:https://www.outflank.nl/blog/2024/06/03/edr-internals-macos-linux/ 前言: 许多公共博客和会议演讲都涵盖了 Windows 遥测源,如内核回调和 ETW,但很少有人提到 macOS 和 Linux 的等效物。虽然大多数安全专业人员可能不会对这种缺乏报道感到惊讶,但不应忽视这些平台。例如,使用 macOS 的开发人员通常拥有特权
vghost
发表于 辽宁
· 1197浏览 · 2024-07-01 09:55
翻译:https://www.elastic.co/security-labs/grimresource 概述 自从Microsoft默认禁用了来自互联网的文档中的Office宏之后,像JavaScript、MSI文件、LNK对象和ISO等其他感染手段变得流行起来。然而,这些手段容易被安全专家发现并受到密切关注。老练的网络攻击者总是在寻找新的、未被广泛知晓的感染途径来绕过安全防护。近期的一个例子是
朝闻道
发表于 湖北
· 1822浏览 · 2024-06-24 08:52
使用版本以及影响 2.23-2.31(不包含2.31) libc-2.23 libc-2.27 if (__glibc_unlikely (bck->fd != victim)) 检查 fakechunk->FD 是不是 victim_chunk libc-2.31(House Of Lore 被ban) 原理解析 house of lore是通过small bin机制,去进行任意地
sn0w
发表于 广东
· 604浏览 · 2024-06-24 00:54
原理介绍 House Of Storm 结合了 unsortedbin attack 和 Largebin attack 的攻击技术,其基本原理和 Largebin attack 类似,可以达到任意地址写的效果,感觉就是在原有的unsorted bin attack的过程加上了一个large bin attack攻击去修改size使得 unsorted bin 可以成功返回 利用条件 1.glib
sn0w
发表于 广东
· 462浏览 · 2024-06-23 14:15
适用版本: 2.23-2.25 使用条件 --能任意写一个可控地址(如largebin attack) --能泄露 libc 地址和 heap 地址 --能触发 IO 流(三种方式) 1.调用exit或从main退出 2. puts、printf函数调用 3. _malloc_assert 源码分析: 关键点: 两条io链条: 1.malloc_as
sn0w
发表于 广东
· 830浏览 · 2024-06-21 01:19
用一个软件学习多姿势绕过 免责声明: 别问为什么没有成品。请各位支持正版! 本文章仅以绕过验证流程来研究软件测试和网页测试的异同点。 文章仅供技术研究交流,不得用于非法牟利并谢绝任何形式的传播。可能造成的一切法律责任由使用者、传播者承担,文章仅用于技术研究交流,其他一切责任作者概不负责。 下载软件,各位直接去官网下载就好,这边就不贴下载链接了。 初步分析 使用ida加载,在字符串中页面搜索可能的
依然253
发表于 上海
· 825浏览 · 2024-06-18 16:43
翻译:https://www.ambionics.io/blog/iconv-cve-2024-2961-p2 介绍 几个月前,我意外地发现了一个存在于 glibc(Linux 程序的基础库)中长达 24 年的缓冲区溢出漏洞。尽管这个漏洞存在于多个广为人知的库或可执行文件中,但很少能够被实际利用——它没有提供足够的操作空间,而且需要满足一些难以达成的先决条件。尝试寻找可利用的目标大多以失败告终。然
朝闻道
发表于 湖北
· 831浏览 · 2024-06-17 16:02
原文:https://www.vaadata.com/blog/antivirus-and-edr-bypass-techniques/ EDR的简介: 在我们的审计过程中,特别是基础设施和网络渗透测试期间,我们的渗透人员可能会需要在配备了防病毒软件的机器上运行工具。此类工具在实际网络攻击中也会使用,因此会被现有的安全解决方案逻辑地阻止。例如,用于评估 Active Directory 安全性的
vghost
发表于 北京
· 1625浏览 · 2024-06-17 15:42
翻译:https://research.checkpoint.com/2024/static-unpacking-for-the-widespread-nsis-based-malicious-packer-family/ 0X00 前言 壳(Packers or crypters)被广泛用于保护恶意软件免于被检测和静态分析。这些辅助工具通过使用压缩和加密算法,使网络犯罪分子能够为每个活动甚至每
面包and牛奶
发表于 中国香港
· 684浏览 · 2024-06-17 01:35
发布投稿