一、前言 Windows操作系统的内存有三种属性，分别为：可读、可写、可执行，并且操作系统将每个进程的内存都隔离开来，当进程运行时，创建一个虚拟的内存空间，系统的内存管理器将虚拟内存空间映射到物理内存上，所以每个进程的内存都是等大的。 操作系统给予每个进程申请内存的权利，使用不同的API ...

一、什么是shellcode loader？ 上一篇文章说了，我们说到了什么是shellcode，为了使我们的shellcode加载到内存并执行，我们需要shellcode加载器，也就是我们的shellcode loader。当然编写Loader不止局限于C/C++，你也可以使用Python ...

一、前言 在Windows XP，Windows Server 2003以及更早的版本中，第一个登录的用户以及Windows的所有服务都运行在Session 0上，这样的做法导致用户使用的应用程 ...

catalogue 1. 传统木马上线方式 0x1: 正向主动连接 最早的远控木马都是"主动连接"，即肉鸡客户端主动监听一个端口(提前配置好)，等待主控端来连接，但是后来因为互联网的进一步发展，公网控制内网就出现了一定的问题，所以这种方法逐步不再使用 0x2: 反向 ...

此次实验是在Kaggle上微软发起的一个恶意软件分类的比赛， 数据集 ​ 此次微软提供的数据集超过500G(解压后)，共9类恶意软件，如下图所示。这次实验参考了此次比赛的冠军队伍实现方法。微软提供的数据包括训练集、测试集和训练集的标注。其中每个恶意代码样本(去除了PE头)包含两个文件，一个是 ...

通常从http post请求获取数据的方法如下：1.request.getInputStream()2.request.getReader()3.request.getParameterMap()系列 ...

第一种 where XX ='NULL' ,XX字段存的值就是NULL这四个字符， 第二种 where XX is null ，XX字段什么也没存，这是数据库的判断语法， 第三种 where isnull（XX），XX字段什么也没存，这是界面开发语言的判断语法 　　 ...

引自 http://blog.sina.com.cn/s/blog_e8e60bc00102vjz9.html 感谢 阿里云安全 的分享 0x00 简介 最近研究了一些开源的杀毒引擎，总结了一下利用ClamAV(www.clamav.net)来打造属于自己的恶意软件分析特征库 ...