DuiLib_Ultimate项目搭建
下载DuiLib_Ultimate库
库链接:https://github.com/qdtroy/DuiLib_Ultimate
下载后目录结构如下:
编译生成库文件
注意:本文只介绍静态库版本,动态库请看下方作者教程
升级项目打开项目后提示需要升级,那么这里点击确认即可升级完成后,项目结构如下图所示
编译方式该项目有很多种编译方式,详情请看下表。
编译模式
描述
Debug
使用 Unicode 字符集Debug模式动态库版本
DebugA
使用多字节字符集Debug模式动态库版本
Release
使用 Unicode 字符集Release模式动态库版本
ReleaseA
使用多字节字符集Release模式动态库版本
SDebug
使用 Unicode 字符集Debug模式静态库版本
SDebugA
使用多字节字符集Debug模式静态库版本
SRelease
使用 Unicode 字符集Release模式静态库版本
SReleaseA
使用多字节字符集Release模式静态库版本
编译&归类我们将所有静态库版本均编 ...
Sysrv-hello挖矿样本
概述
该样本为Sysrv-hello挖矿样本,目前该病毒家族的漏洞利用模块已达20个。Sysrv-hello家族最早出现于2020年12月份,至今其版本迭代已数十次,不断的新增攻击模块,是一个新型且十分活跃的家族。
挖矿程序的特征
挖矿程序会占用CPU进行超频运算,导致CPU严重损耗,并且影响服务器上的其他应用。
挖矿程序还具备蠕虫化特点,当安全边界被突破时,挖矿病毒会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
挖矿程序具有联动作用,在清理过程中会存在处理不及时或清理不干净导致挖矿病毒反复发生、出现恶意脚本替换系统命令的现象,从而导致执行系统命令时触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。
样本文件信息
该样本为公司样本,故不提供相关特征。
技术分析
该样本使用随机IP对其进行端口扫描,如果端口开放则进行漏洞攻击
漏洞利用模块列表
JBOOS反序列化漏洞
Supervisord远程命令执行漏洞(CVE-2017-11610)利用模块:
Larave ...
Cobalt Strike样本的字符串特征
字符串 MSSE-%d-server 模式.
rdata头部的管道名格式:%c%c%c%c%c%c%c%c%cMSSE-%d-server
https://www.anquanke.com/post/id/228123#h2-6https://blog.nviso.eu/2021/04/26/anatomy-of-cobalt-strike-dll-stagers/
vscode vue 自动格式化
教程开始第一步,先打开vscode软件,方便快捷的方式就直接使用快捷键ctrl+,(是ctrl加逗号)唤出快速搜索条界面。
第二步,接下来先设定自动保存文件,搜索框贴入files.autoSave筛出设置项,并把设置项属性选择为onFocuschange。
第三步,设定编辑器默认代码格式化(美化)的插件为Prettier,同理在搜索设置框贴入editor.defaultFormatter,将配置项选择为Prettier。
第四步,设定Prettier插件保存时自动格式化代码,搜索设置项贴入editor.formatOnSave,将如下图所示的选项框打钩即可。
注意,注意,注意这样的效果是全局的,会使所有的文件都用这格式化,如果开启了其他项目,容易格式化冲突,打开你的setting.json,找到刚才的编辑设置,如下
1"editor.defaultFormatter": "esbenp.prettier-vscode"
修改为
123"[vue]": { "editor.defaultForma ...
Hive勒索病毒样本分析报告
概述
Hive勒索病毒家族于2021年6月被首次发现,之后也保持着非常活跃的攻击趋势。同时hive也对自身进行了多次的版本更迭。本次样本为Rust语言的变异版本。 该hive病毒样本同样采用了非对称+对称算法的加密方案,但是在文件加密阶段使用的对称加密算法有别于主流加密方式。Hive在加密文件时并未采用标准的对称加密算法,如AES、DES、salsa20、RC4等,而是使用了自定义的流加密方式。
名词解释
该样本隶属于 Hive 家族。Hive家族通常通过钓鱼邮件,远程桌面协议,漏洞利用进行攻击。相关攻击工具:Cobalt Strike、Coroxy、ConnectWise Automate 端点管理漏洞等
相关文件(IoCs)
windows_x64_encrypt.exe:样本主程序MD5: 109652cfb3*9cdc0e4SHA1: 8c315_*_7d2519d70485965c5fSHA256: dac0e015c3669dcec**bd7fee51e87f193016ae529
样本危害
a. 重要文件无法读取b. 关键数据被损坏c. 被感染者需要通过缴纳高额赎金 ...
更好的ShellCode编写方式
前言在我们日常编程中,有可能为的只是一个函数的调用的情况,导致我们需要写一个DLL注入到目标进程中。就笔者个人而言,笔者更喜欢集成在一个EXE中。所以这个时候最好的解决方式就是ShellCode。而外面已有的Shellcode编写大部分都是最终生成二进制数据,我个人认为是比较麻烦的。所以这里我带来了一个另类思路。
编写方式1、构造一个结构体,里面用来填充ShellCode所需要内容。切记禁止有需要间接访问的内容。
12345678using MessageBoxW_t = INT(WINAPI*)(_In_opt_ HWND hWnd, _In_opt_ LPCWSTR lpText, _In_opt_ LPCWSTR lpCaption, _In_ UINT uType);struct ShellCodeInfo { MessageBoxW_t MessageBoxW; const wchar_t* szText; const wchar_t* szCaption; UINT uType;};
2、组装参数并把结构体写入到目标进程中
12 ...
html支持1password的自动填充方式
前言由于近些年来,个人隐私数据的泄露,弱密码爆破等种种原因。笔者采用了1password来保存自身密码【谷歌浏览器的保存密码会被木马轻易偷取!!!】,而再编写网页的时候发现他不会在我的页面自动输入两步验证的密码,在别人的网站里却可以使用。通过笔者的一番查阅,其实支持1password自动填充很简单,那么具体怎么写请看下文。
解决办法在input框中设置autocomplete属性,设置属性autocomplete为off的话貌似1password会根据自身判定来决定该字段是否重要,从而决定是否自动填充。那么我们将autocomplete属性设置为非off,告诉1password该字段重要即可。
例如我们需要1password帮我们自动填充两步验证的一次性密码可以对autocomplete属性设置如下内容
1234567<el-input v-model.number="loginFormData.code" placeholder="请输入两步验证码" autocomplete="one-time-code"> ...
Phobos勒索病毒样本分析
概述
该样本隶属于Phobos家族。Phobos家族通常通过RDP暴力破解+人工投放的方式进行攻击。
攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.Devos>,目前该勒索无法解密。
相关文件(IoCs)
该样本为公司样本,故不提供相关特征。
传播方式
Phobos家族通常通过RDP暴力破解+人工投放+钓鱼邮件的方式进行攻击。
行为分析删除卷影拷贝以避免系统恢复123456vssadmin delete shadows /all /quietwmic shadowcopy deletebcdedit /set {default} bootstatuspolicy ignoreallfailuresbcdedit /set {default} recoveryenabled nowbadmin delete catalog -quietexit
禁用Windows防火墙1 ...
DLL模块隐藏技术[x86/x64]
原理利用PE结构,将模块从链表中摘除,注意该方法只适用于R3,R0还是有办法看到的。
代码注意:代码为64位,32位道理一样,需要稍微改改?之前的代码了忘了支不支持32位了~
HideDll.h1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321331341351361371381391401411421431441451461471481491501511521531541551561571581591601611621631641651661671681691701 ...