Java Api是Java的应用程序接口,里面有很多写好的Java Class,包含一些重要的语法结构以及基本图形,网络和文件IO,我们可以直接调用。
QBot也称为QakBot,已经活跃了很多年。它最初被称为金融恶意软件,旨在窃取用户凭据和键盘记录来对政府和企业进行金融欺诈。近期在野捕获的Office Word文档中发现QBot变体,但未发现其传播方式。本文将分析它在受害者机器上的工作方式及其使用的技术。
上期文章介绍了Webshell的基础知识和防护技巧,有兴趣的同学可以前往 你所不知道的Webshell--基础篇 观看。
可以通过 terminal 中输入 wt.exe 运行就说明并非是应用损坏,而是启动方式问题,直觉想到可能是 Win+X 菜单和 Win+R 附带了什么奇怪的参数,想到火绒剑记录系统日志分析,日志记录如下:
摘要总结:本文介绍了一种用于解压缩文件的PowerShell脚本,该脚本使用7-zip和HaoZip工具来解压缩文件。该脚本还可以处理压缩包内包含的子压缩包。如果指定了可选参数,该脚本还可以执行解压缩操作并显示详细的进行步骤。
vlc.exe.lnk双击这个文件,能正常打开vlc,但是用System.Diagnostics.Process.Start(Path.GetFullPath("vlc.exe.lnk"), url);没有任何反应。根据常理,不应该出现这个问题。但是现实就是这么魔幻,偏偏有这个问题。
项目的需要是这样,用C++和opencv写的车牌检测方法,打包成一个exe文件,然后用java调用这个exe文件。这个需求本来很普通,就是个exec()函数的事,但是由于种种原因,vs2013编写的C++程序无法打包成一个可以单独执行的exe文件,这个exe放在工程目录下双击,是可以正常执行的,但是用java调用后出现了一个很奇怪的现象,在任务管理器中有进程,但是功能无法实现。 工程目录是这样:
有一些程序不支持被直接启动,而要求通过命令行启动。这个时候,你就需要使用 cmd.exe 来启动这样的程序。我们都知道如何在 cmd.exe 中启动一个程序,但是当你需要自动启动这个程序的时候,你就需要知道如何通过 cmd.exe 来启动一个程序,而不是手工输入然后回车运行了。
近期,火绒安全实验室在日常威胁巡视中发现一 GitHub 仓库发布的项目存在病毒风险行为,火绒安全工程师第一时间提取样本进行分析。分析中发现样本会通过多种手段对抗杀软,并最终释放 Remcos 商业远控木马控制受害者机器,且病毒作者仍在积极开发当中。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
作者:HuanGMz@知道创宇404实验室 时间:2022年6月7日 分析一下最近Microsoft Office 相关的 MSDT 漏洞。 1. WTP框架 文档: https://docs.microsoft.com/en-us/previous-versions/windows/desktop/wintt/windows-troubleshooting-toolkit-portal Windows Troubleshooting Platform (WTP) provides ISVs, OEMs
在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库。现在就让我们走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧!
正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率):
RPC 是底层机制,用于多种横向移动技术、侦察、中继攻击,或仅用于利用易受攻击的 RPC 服务。
背景:Windows计划任务调用jps.exe,达到的效果跟直接在命令行下调用不同,有时候又相同,摸不着规律
最近,基于word文档的电子邮件攻击愈发猛烈。邮箱收到一封电子邮件,包含如下的WORD附件。文档打开后,显示如下图。内容就是一幅图片,提示要查看具体的传真内容要求用户启动宏。不言而喻,这是一个带有宏的word文档。
请在Python官网下载Python2.7和Python3.6安装包,虽然最新的是3.6版本,但是建议两个包都安装,方便后期在IDE工具切换。 Python官网:https://www.python.
可能在很多人想想中,只有DLL才有导出表,而Exe不应该有导出表。而在《PE文件和COFF文件格式分析——导出表》中,我却避开了这个话题。我就是想在本文中讨论下载Exe中存在导出表的场景。(转载请指明出于breaksoftware的csdn博客)
在本文中,我们将简要介绍一下用户帐户控制,即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。
有时候由于病毒或其他原因,启动了一系列的进程,并且有时杀了这个,又多了那个。使用命令taskkill可将这些进程一下子全部杀光:
这个系列的文章翻译由信安之路红蓝对抗小组的所有成员共同完成,后续将陆续发布,敬请期待!
官网http://www.nirsoft.net/utils/nircmd.html
在windows 下使用python的tkinter库编写简单的界面,功能是拆分barcode,这样不懂命令行运行程序的同学们就可以通过 ‘点点点’ 的方式来操作了。
做文档转换的时候,使用Java调用COM接口的时候,如果文档中有字体没有的话,在转换的时候会弹窗,导致转换卡死,再加上转图片还需要装额外的软件,比较麻烦。
*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载 打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件
RPC 全称 Remote Procedure Call,即远程过程调用。RPC是一种功能强大的底层机制,被广泛应用于横向移动、网络侦查、中继攻击和针对RPC服务的漏洞利用活动中。除此之外,像DCSync、Remote DCOM、WMIC、SharpHound、PetitPotam、PsExec和ZeroLogon等活动都是通过RPC来实现的。现在,想必大家已经明白了RPC的重要性了。
WMI利用(权限维持)
Windows PowerShell是专门为系统管理员设计的Windows命令行外壳程序。PowerShell包括可独立使用或组合使用的交互式提示和脚本环境。
Winexec(”D:\\notepad.exe 1.txt”,WM_SHOWWINDOW);
用户点击病毒程序之后,该病毒就会释放并执行恶意文件,随后黑客可以远程控制用户电脑。除此之外,该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑,致使释放的子文件中存在着蠕虫的特征,增加了破坏性。执行流程如下图所示:
Platform SDK工作集,Platform SDK目录下包含很多工具。这些工具在调试、测试、性能测试、可执行文件查看等方面有比较强的功能。 depends.exe:系统调用依赖查看工具,可以用来查看可执行文件的导入表和导出表。 WinDbg:功能强大的调试器。 rc.exe:资源编译器。 mc.exe:消息编译器。 bind.exe:绑定DLL,将DLL导出的函数的地址存储到地址表中,调用DLL的导出函数的时候,可以通过地址表进行直接的跳转。 windiff.exe:比较文件的不同。 where.exe:查找文件。 PerfMtr.exe:查看系统工作性能。 rebase.exe:指明应用程序所使用的DLL的基址。 pstat.exe:显示进程和模块的统计信息,统计的信息非常全面,包括系统整体内存的使用情况,各个进程的用户态时间,内核时间、错误数、句柄、线程数、PID、TDI等。 vadump.exe:虚拟地址转存,统计每个进程各个模块的进程信息情况。
延续了2018年加密货币挖矿恶意软件的趋势,我发现了另一种类似于5月初发现的“MassMine”的挖矿恶意软件。我把这个家族称为ZombieBoy,因为它使用了一个名为ZombieBoyTools的工具来释放第一个dll。
内容采集系统,对于以内容为主的网站来说是非常好的助手,除了原创内容外,其它内容需要编辑人员或者采集系统来收集整理,然后添加到自己的网站里。Discuz DvBBS CMS等产品,内部都自带了一个内容采集功能,来采集指定的相关内容。 单客户端的火车头采集器也可以非常好的采集指定的内容。这些工具都是想让机器代替人工,把编辑人员从内容搬运的工作中解放出来,做一些更高端的工作,例如采集结果的内容微调,SEO优化,设定精确的采集规则,让采集的内容更加符合自己网站的需要。 下面的内容采集系统就是从这个想法开发而来的,
SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。该工具的优点在于它不会针对SMB执行身份验证。一切都通过DCERPC执行。无需创建服务,而只需通过ChangeServiceConfigAAPI 远程打开服务并修改二进制路径名即可(所以要事先知道目标上的服务名称)。支持py和exe两种文件类型。
故事总要有缘由,那么这个故事的缘由就是,当我以前写了一个获取其它进程密码框密码的时候(前几篇博客中有描述),我抱着试一试的心情去试探了一下能不能得到 QQ 的密码,当我抓到密码框的句柄,然后输入给程序的时候,结果令人失望,并没有任何结果,或许这根本就是一个假的密码框。这便激发了我的兴趣,便有了这次探究。 QQ 的安全密码框果然是下了功夫的。网上搜索相关内容,才发现,以前腾讯用了韩国的技术来保证密码的安全性,但由于涉及到驱动,造成了一部分的不稳定性,所以最后取消掉了这种方法,那么最新
通过QQ邮箱官方网站获取授权码方法,将照片发送到指定的邮箱。最后将本地的照片删除。
简介 visual studio安装后会自带小型的“iis”服务器,本文就简单提取一下这个组件,自己做一个小型“iis”服务器吧。 先来说用途吧(废话可绕过),比如在服务器上没有安装iis,或者给客户
TinyInst 是一个基于调试器原理的轻量级动态检测库,由 Google Project Zero 团队开源,支持 Windows、macOS、Linux 和 Android 平台。同 DynamoRIO、PIN 工具类似,解决二进制程序动态检测的需求,不过相比于前两者 TinyInst 更加轻量级,更加便于用户理解,更加便于程序员进行二次开发。
在Windows平台上使用C++开发了一个服务,其中组合了各种各样的第三方组件,一般以lib/dll和头文件的形式使用。有这样一种场景,如下图所示,应用程序申请了一段内存ptr, 但在调用lib.dll的函数接口中其调用了free(ptr)。一般来说我们也尽量避免在一个组件中申请内存,而在另一个组件中释放,这里恰巧是一个bug导致了跨组件的内存申请和释放。
做过Web自动化测试的人都知道,我们使用WebDriver来驱动各种浏览器,并对浏览器进行操作。 当在浏览器操作过程中遇到要与Windows界面进行交互的时候,WebDriver就没办法了,他只能驱动浏览器网页。 查阅资料后,今天学习了下,发现一种新方式利用AutoIt来对Windows进行操作。
尝试后发现,对引用了numpy等第三方库的python代码,会报找不到模块xxx的错误,上网查证后发现此问题基本难以解决
在实际工作中,经常碰到需要通过脚本启用禁用网卡的情况,在网上找了一个脚本,实际是通过模拟键盘操作来启用禁用,但对于多种系统和比较复杂的情况操作性不好。
目录[-] 在使用pytesser做图片文字识别时遇到 WindowsError: [Error 2] 错误,报错内容如下: Traceback (most recent call last): File "E:/Code/Captcha/ChinaMobileEC/recogCaptcha.py", line 37, in <module> print pytesser.image_to_string(out) File "E:\Code\Captcha\pytesser\pytess
经常使用迅雷的朋友一定知道,在迅雷9发布之后,迅雷极速版便不再更新了。虽然不再更新并不影响继续使用,但新特性以及 Bug 修复都与极速版无缘了。又适逢前段时间所有资源都被提示“版权限制”或“违规内容”的事件,导致了迅雷社区对于新极速版的呼声日渐高涨。从命名上不难看出,U享版将会继承会员专属的尊享版的无广告,注重下载的使用体验。在开放下载后 reizhi 第一时间进行了试用,发现迅雷9上的浏览器被去除了,但却以内嵌的形式附带了迅雷播放器。
笔者最近在学习UAC绕过的技术,通过对其他师傅的文章进行总结,成功利用DLL劫持绕过了UAC,并且可以以High Mandatory Level来启动进程。在此记录下学习过程,笔者也是初次接触,若各位师傅发现文章中的错误,望各位师傅斧正。
1、下载Redis安装文件,我选择的是 3.0.504 版本,有zip或msi可供下载。
手动调用方式是在测试用例的参数里加入fixture的名称
代码签名的主要目的是为了确保软件的来源(这个软件是由谁生产的)和软件的内容不被篡改
System 系统调用的返回值 , 在不同的系统下是不同的 , 如 Windows , Linux , Mac 的系统调用返回值不同 ;
近期接到客户反馈,其网络中有部分 Windows 系统终端机器异常,安全团队经过分析,发现其仍旧是一起网络挖矿事件。
领取专属 10元无门槛券
手把手带您无忧上云