Skip to content →

liwz11's blog Posts

伪造CA颁发证书和签名

尽管在一台Windows机器上植入恶意代码和建立C&C信道的方式有多种,其共同的目标之一是防止payload被检测到,当需要考虑持久性的时候,这一点尤其重要。现在假设这样一个场景:已经获得了目标主机的Shell访问权,为了在机器重启之后C&C信道能够重建,需要在该主机上安装一个程序,尽可能躲过杀毒软件的检测。 较直接的方法是使程序看起来像一个Windows系统二进制文件。而数字签名 ……

JavaScript Backdoor

本文介绍一个javascript脚本后门的实现:客户端在命令行中利用rundll32.exe加载JavaScript代码,代码运行后会反弹一个Http Shell来同服务端连接,而且rundll32.exe进程会在后台一直存活,以保证持续连接。整个过程不需要写入文件,隐蔽性非常高。 一、测试环境 Server: OS – Win7 x64 IP – 192.168.1.2 Client: OS – ……

COM劫持:持久性机制分析

G DATA SecurityLabs的专家们发现了一种新的Remote Administration Tool,被称为COMpfun,它支持32位和64位的Windows系统版本,最高可支持Windows 8。其特性对于目前的间谍工具而言相当常见:文件管理,截屏,键盘记录,代码执行,等等。最大的新奇之处在于持久性机制:恶意程序会劫持一个合法的COM,进而注入到被感染系统的进程中。该劫持行为不需要 ……

Hexo博客配置

上一篇文章学习搭建Hexo博客并将其部署到Github上,本文将按照自己的喜好和习惯来对博客的主题和细节进行配置。为了方便叙述,我们依旧假设Hexo目录为D:\Hexo。 1. 修改主题 生成博客系统时默认的博客主题是landscape,但萝卜青菜各有所爱,每个人都可以定义自己的主题,hexo主题列表的链接为Hexo Themes,如果想预览主题可以到https://hexo.io/themes/ ……

Hexo+Github搭建博客

Hexo是由Node.js驱动的一款快速简单且功能强大的博客框架,支持MarkDown语法编写文章,可生成静态网页托管在GitHub或其他网站。本文将讲述搭建Hexo博客的整个流程。 一. 安装Node.js 在Windows环境下安装Node.js非常简单,仅须到nodejs.org下载安装文件,双击运行,一路Next即可,一般不需要自己配置环境变量。 二. 安装Git 在Windows环境下安 ……