Windows随机填充页表+DVRT分析 2025-02-19 Red NTDLLWindows内核红队技术 DCOM绕过PPL反射调用.Net原理 Windows线程本地储存_TLS分析 RELATED POSTS DCOM绕过PPL反射调用.Net原理 本篇只是记录James Forshaw, Google Project Zero提供的文章进行学习笔记,并非复现过程。具体细节还是去观摩大佬的文章学习比较好(参考链接1)。 攻击原理Windows COM (Component Object... 红队技术, Windows内核, COM注入 Mar 17 1 min Windows线程本地储存_TLS分析 一、何为TLSThreadLocalStore(TLS),线程本地存储。PE文件中一种特殊的数据存储方式,同时也是Windows操作系统提供的一种机制,允许每个线程拥有自己的数据区,而不是共享同一个全局变量。在多线程模式下,有些变量需要支持... 红队技术, Windows内核, TLS Jan 23 1 min OLLVM笔记_1—环境编译及BCF学习 工作原因,最近开始学习OLLVM,后边需要写一些pass给用来做混淆。因为主要是做混淆,所以OLLVM的整体代码并不在自己的学习范围内,主要是学习pass的原理及编写,后期也会根据学到的东西给OLLVM做对抗。目前计划学习的内容: OLLV... 代码混淆, OLLVM Apr 01 3 min OLLVM笔记_2—Flat学习 控制流平坦化(Control Flow Flattening)是OLLVM中最重要的混淆技术之一。它的核心思想是将原本清晰的多分支控制流转换为一个基于switch语句的扁平循环结构,通过状态变量来控制程序的执行流程,从而大大增加逆向分析的难... 代码混淆, OLLVM Apr 02 2 min OLLVM笔记_3—Substitution学习 指令替换(Instruction Substitution)是OLLVM中相对简单但很实用的混淆技术。LLVM的思路是将简单的二元运算指令替换为等价但更复杂的指令序列,通过增加指令数量和复杂度来干扰静态分析,同时保持程序的功能完全不变。 原... 代码混淆, OLLVM Apr 03 1 min Windows内核双机调试 传统模式BCD搭建1、系统设置打开CMD,输入下列指令后回车,会得到一个 {ID}。 Text1bcdedit /copy {current} /d DebugEntry 将{ID}... Windows内核, 双机调试, WinDbg +2 Feb 18 1 min