• 本文首发于跳跳糖安全社区https://tttang.com/archive/1786/

• 主要记载了常见的Bypass EDR的方法。

0x01 命令和脚本解释器

• powershell
• cmd
• js
• vb(s)
• python

• Persistence学习总结
  阅读全文 »

• 本文主要总结了几种不太常见的高级注入技术
  • Module Stomping(LoadLibrary)
  • Module Stomping(NtMapViewOfSection)
  • AtomBombing
  • Process Hollowing
  • Process Doppelgänging
  • Transacted Hollowing
  • Process Ghosting等

0x00 前言及原因分析

        CVE-2015-2546是发生在win32k!xxxMNMouseMove函数的一个释放后重引用漏洞(UAF),在win32k!xxxMNMouseMove中调用xxxSendMessage发送MN_SELECTITEM(0x1E5)和MN_SETTIMERTOOPENHIERARCHY(0x1F0)消息的时候，执行流可能会回调进入用户侧，当执行流从用户侧返回之后，win32k!xxxMNMouseMove函数并没有对tagPopupMenu对象进行校验，就将其传入win32k!xxxMNHideNextHierarchy对其进行了访问，从而引用UAF。

0x00 前言

        CVE-2014-4113是Win32k下的释放后重引用漏洞(UAF)，该漏洞位于win32k!xxxHandleMenuMessages中，通过调用win32k!xxxMNFindWindowFromPoint获取tagWnd指针，在此期间，执行流通过回调机制，返回用户侧，在用户侧释放目标菜单对象，并返回0xFFFFFFFB。当执行流重新返回内核侧，
并没有针对返回值进行校验，直接使用该返回值作为参数传入win32k!xxxSendMessage发送MN_BUTTONDOWN消息，由此造成UAF。

• HEVD简单学习
  阅读全文 »

0x00 前言与背景

        本文没有什么创新，只是在学习beacon生成和调试分析和检测beacon的过程中的一些记录。本文首发于跳跳糖安全社区(https://tttang.com/archive/1631/)

0x00 项目简介

        SysWhispers2Demo是通过逆向分析kernel32.dll或者kernelbase.dll文件，从而仿写部分Win32 API的实现逻辑，以解决部分SysWhispers2使用者在利用SysWhispers2做EDR规避时候所遇到的开发困难。SysWhispers2Demo在仿写Win32 API的时候，部分采用最小开发原则，即部分参数需要使用微软API文档所约定的默认参数，以减轻仿写的工作量。项目地址:https://github.com/findream/SysWhispers2Demo