一、前言 Windows操作系统的内存有三种属性，分别为：可读、可写、可执行，并且操作系统将每个进程的内存都隔离开来，当进程运行时，创建一个虚拟的内存空间，系统的内存管理器将虚拟内存空间映射到物理内存上，所以每个进程的内存都是等大的。 操作系统给予每个进程申请内存的权利，使用不同的API ...

远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入，突破系统SESSION 0 隔离，向系统服务进程中注入DLL。 0x01 介绍 通过CreateRemoteThread实现的远程线程注入，流程大致就是： 通过OpenProcess获取目标进程句柄 ...

前言： 　　之前提到，由于SESSION 0隔离机制，导致传统远程线程注入系统服务进程失败。经过前人的不断逆向探索，发现直接调用 ZwCreateThreadEx 函数将其第7个参数 CreateSuspended（CreateThreadFlags）的值置为零可以进行远程线程注入，还可以突破 ...

一、什么是shellcode loader？ 上一篇文章说了，我们说到了什么是shellcode，为了使我们的shellcode加载到内存并执行，我们需要shellcode加载器，也就是我们的s ...

一、什么是shellcode？ shellcode是一小段代码，用于利用软件漏洞作为有效载荷。它之所以被称为“shellcode”，是因为它通常启动一个命令shell，攻击者可以从这个命令shell控制受损的计算机，但是执行类似任务的任何代码都可以被称为shellcode。因为有效载荷 ...

远程线程注入突破SESSION 0 SESSION 0 隔离 在Windows XP、Windows Server 2003，以及更老版本的Windows操作系统中，服务和应用程序使用相同的会话（Session）运行，而这个会话是由第一个登录到控制台的用户启动的。该会话就叫做Session ...

此次实验是在Kaggle上微软发起的一个恶意软件分类的比赛， 数据集 ​ 此次微软提供的数据集超过500G(解压后)，共9类恶意软件，如下图所示。这次实验参考了此次比赛的冠军队伍实现方法。微软提供的数据包括训练集、测试集和训练集的标注。其中每个恶意代码样本(去除了PE头)包含两个文件，一个是 ...

很多大学里是把软件开发相关的专业划入工科的，这给人一种错觉，让人认为软件开发也是一个工程学科，就像土木建筑，动力机械那样。 但这从根本上错了，土木建筑，动力机械的背后有确实的科学定律作为支撑，而软件开发的背后基本上什么都没有，远不是一种“科学”。 也正因此，“软件工程”的现实意义也就 ...