• 本文转载于跳跳糖安全社区，原文链接为https://tttang.com/archive/1640/

0x00 idapython 调试

      配置好IDA 7.5 免安装版之后，可以正常使用idapython，但是在import idc会报错。修改%IDA_7.5%\python\3\ida_idaapi.py文件，在第80行，添加如下：

1

sys.modules["__main__"].IDAPYTHON_COMPAT_695_API = True

      在vscode添加插件idacode

      在IDA pro 安装插件，在https://github.com/ioncodes/idacode/releases处下载。解压到%IDAPATH%/plugins中。

      编辑 idacode_utils/settings.py，把 Python 的可执行文件路径改为自己电脑上 Python 的路径

      重新打开，在输出窗口就能看到是否成功，可能会提示缺少模块，可以通过Pip安装模块debugpy

       安装成功就是这样的。

• 本文转载于跳跳糖安全社区，原文链接为https://tttang.com/archive/1715/

0x00 C# 反射注入总结

      反射的流程一共有3种类型：CreateInstance类型，CallByName类型，Invoke类型。test

0x00 前言

      在ATT&CK框架中，持久性方面，攻击者使用计划任务，或者服务作为持久性的相关技术，但很少看到编号为T1546.015的COM组件劫持相关的利用。本文行文仓促，如有错误，请各位积极指正。

0x00 COM模型

      Component Object Model 译为组件对象模型，是一种独立于语言的一种二进制操作模型，攻击者通常使用组件对象模型(即COM)来执行本地代码。由于COM组件是语言独立的。所以，这些接口经常通过各种语言调用来进行代码执行，以及无文件下载以及持久性等诸多隐秘的操作，而被滥用。通常通过指定CLSID（标识GUID）或ProgID（程序标识符）来获得COM对象。

0x1 Dynamic Data Exchange

0x1.1 什么是 Dynamic Data Exchange

      Dynamic Data Exchange(DDE)，译为动态数据交换。DDE是一种Inter-Process Communication机制下的一种客服端服务器协议。

0x0 前言

      最近在学习Metasploit相关的东西，主要是基于msfvenom免杀相关的学习，由于免杀技术日新月异，更新速度快。所以本文只抛砖引玉。欢迎各位师傅探讨交流学习。

背景与前言

         根据360和微步在线公众号披露的情报称，从今年(2020年)11月份起，SideWinder开始策划针对中国的定向攻击。正如360威胁情报中心公众号所说，本次攻击是SideWinder利用邮件等方式传播带有远程模板的恶意文档发动的一次攻击，具体过程如下，首先利用远程模板注入从远程C2服务器上加载含有CVE-2017-11882漏洞的文档，之后执行恶意payload，加载释放在%temp%中的恶意js文件，该js脚本采用内存反射加载的方式执行C#文件，进而部署恶意后门程序。

0x0 前言

         前言略过，日后补齐~~