一、前言 Windows操作系統的內存有三種屬性，分別為：可讀、可寫、可執行，並且操作系統將每個進程的內存都隔離開來，當進程運行時，創建一個虛擬的內存空間，系統的內存管理器將虛擬內存空間映射到物理內存上，所以每個進程的內存都是等大的。 操作系統給予每個進程申請內存的權利，使用不同的API ...

遠程線程注入DLL突破session 0 隔離 0x00 前言 補充上篇的遠程線程注入，突破系統SESSION 0 隔離，向系統服務進程中注入DLL。 0x01 介紹 通過CreateRemoteThread實現的遠程線程注入，流程大致就是： 通過OpenProcess獲取目標進程句柄 ...

前言： 　　之前提到，由於SESSION 0隔離機制，導致傳統遠程線程注入系統服務進程失敗。經過前人的不斷逆向探索，發現直接調用 ZwCreateThreadEx 函數將其第7個參數 CreateSuspended（CreateThreadFlags）的值置為零可以進行遠程線程注入，還可以突破 ...

一、什么是shellcode loader？ 上一篇文章說了，我們說到了什么是shellcode，為了使我們的shellcode加載到內存並執行，我們需要shellcode加載器，也就是我們的s ...

一、什么是shellcode？ shellcode是一小段代碼，用於利用軟件漏洞作為有效載荷。它之所以被稱為“shellcode”，是因為它通常啟動一個命令shell，攻擊者可以從這個命令shell控制受損的計算機，但是執行類似任務的任何代碼都可以被稱為shellcode。因為有效載荷 ...

遠程線程注入突破SESSION 0 SESSION 0 隔離 在Windows XP、Windows Server 2003，以及更老版本的Windows操作系統中，服務和應用程序使用相同的會話（Session）運行，而這個會話是由第一個登錄到控制台的用戶啟動的。該會話就叫做Session ...

此次實驗是在Kaggle上微軟發起的一個惡意軟件分類的比賽， 數據集 ​ 此次微軟提供的數據集超過500G(解壓后)，共9類惡意軟件，如下圖所示。這次實驗參考了此次比賽的冠軍隊伍實現方法。微軟提供的數據包括訓練集、測試集和訓練集的標注。其中每個惡意代碼樣本(去除了PE頭)包含兩個文件，一個是 ...

很多大學里是把軟件開發相關的專業划入工科的，這給人一種錯覺，讓人認為軟件開發也是一個工程學科，就像土木建築，動力機械那樣。 但這從根本上錯了，土木建築，動力機械的背后有確實的科學定律作為支撐，而軟件開發的背后基本上什么都沒有，遠不是一種“科學”。 也正因此，“軟件工程”的現實意義也就 ...