关于PPLBlade PPLBlade是一款功能强大的受保护进程转储工具,该工具支持混淆内存转储,且可以在远程工作站上传输数据,因此不需要触及磁盘。...在该工具的帮助下,广大研究人员能够轻松绕过各种进程保护技术来实现进程数据转储,以测试目标系统和进程的安全情况。...功能介绍 1、绕过PPL保护; 2、混淆内存转储文件以绕过基于签名的安全检测机制; 3、使用RAW和SMB上传方法上传内存转储,而无需触及磁盘,即无文件转储; 需要注意的是,项目源文件中的PROCEXP15...所有相关的代码已经嵌入到了PPLBlade.exe,因此我们只需要运行这一个单独的可执行文件即可。...支持的工作模式 1、转储(Dump):使用进程ID(PID)或进程名称转储目标进程内存数据; 2、解密(Decrypt):将经过混淆的转储文件恢复成原本状态(--obfuscate); 3、清理(Cleanup
简介: 使用 DRM 技术的文件格式之一是 Windows Media Audio (WMA)。在本文中,我们将探讨什么是受 DRM 保护的 WMA 文件、它们的工作原理以及如何在不同设备上播放它们。...什么是受 DRM 保护的 WMA 文件?受 DRM 保护的 WMA 文件是使用 DRM 技术编码以防止未经授权的复制、共享或分发的音频文件。...图片如何将受 DRM 保护的 WMA 文件转换为 MP3WMA 文件的 DRM 保护可能非常令人沮丧,尤其是当您尝试在不支持它的设备上播放您喜欢的音乐时。...此类工具的共有特征可分为:在下载过程中删除 DRM 保护,您不必再次转换文件以 MP3 格式保存受 DRM 保护的 WMA 文件永久 DRM 删除和无损视频和音频质量批处理和超快的下载速度结论受 DRM...我们希望本文为您提供了有关受 DRM 保护的 WMA 文件以及如何在不同设备上播放它们的有用信息。
---- 在射击游戏中防止玩家作弊 前言 本篇继续阅读学习《有趣的二进制:软件安全与逆向分析》,本章是在射击游戏中防止玩家作弊,学习内存转储和如何保护软件不被破解 一、内存转储 借用一个小游戏进行学习内存转储的知识...右键点击目标进程名称 选择“创建转储文件” 4、通过转储文件寻找出错原因 当程序崩溃时,最好能够第一时间启动调试器,但有些情况下无法做到这一点。...不过,即便在这样的情况下,只要我们留下了转储文件,也能够通过它来找到出错的原因 用 WinDbg 来分析一下 chap02\guitest2 中的 guitest2.exe 的转储文件 user.dmp...: LoadLibraryW 函数的参数为 kernel31.dll,但实际上系统中没有 kernel31.dll 这个 DLL 文件,因此 LoadLibraryW 函数会调用失败 到这里程序还没有崩溃...,找到检测调试器的逻辑(例如调用 IsDebuggerPresent 的地方),就可以轻易破解 2、通过代码混淆来防止分析 如何防止代码被分析呢?
无密码模式 —- 加密后的文件无需要开启密码即可运行,仅对原始文件做加密保护 一码通模式 —- 采用相同秘钥和产品编号加密的不同文件,在同台电脑上只需认证一次 特点: 可以设置加密后文件的运行次数和有效期...VProject(有激活成功教程版) 原创虚拟机保护引擎、随机指令集、随机填充代码、代码乱序执行、外壳保护、反内存转储存、区段合并、资源加密、反调试、防修改。...所以基本上不影响程序运行效率自带授权系统,正常用户管理系统,黑名单,加密SDK,授权API等实用功能,分析使用Vprotect保护后的程序,将不仅仅是一项技术活,同时也会成为高强度的体力活。...Vmproject(商用软件、长期更新) 虚拟机保护机制,安全系数较高,激活成功教程难度大 VMProtect允许对可执行文件(EXE、SCR)、动态链接库(DLL,OCX,BPL)和驱动程序(SYS)...VMProtect允许对32位和64位应用、库和驱动进行保护。MProtec保护的文件可以在几乎任何版本Windows OS上运行,自Windows 95开始。
这里一共有两种转储方式 miniDump: 应用程序可以生成用户模式的小型转储文件,其中包含故障转储文件中包含的信息的有用子集。应用程序可以非常快速有效地创建小型转储文件。...尽管必须使用“ .dmp”扩展名,但可以在参数中控制其余的转储文件名: ProcDump是一个命令行实用程序,其主要目的是监视应用程序中的CPU尖峰并在尖峰期间生成崩溃转储,管理员或开发人员可以使用它来确定尖峰原因...然后使用sqldumper.exe ? 40标志将创建Mimikatz兼容的转储文件。...新的手法 可以使用WerFault.exe(处理进程崩溃的Windows错误报告进程)创建lsass.exe的内存转储。...此技术的主要优点是它不会导致lsass.exe崩溃,并且由于WerFault.exe始终用于创建文件转储(而不仅仅是lsass.exe),因此此方法提供了未被检测到的附加优点。
在此工具的正常功能中,需要在cpu峰值期间生成崩溃转储文件,方便管理员来确定峰值原因,通过以下命令就能直接生成转储文件了。...\cisco jabber\x64\目录下存放processdump.exe,jabber会使用此程序来进行内存转储。...既然无法使用正常的业务逻辑,那如何才能不退出lsass进程,dump内存呢?...,从日志分析整个过程就像lsass主动dump内存),能够更好的规避杀软。...和MiniDumpWriteDump的保护下,如何绕过保护dump内存的方法。
关于Collect-MemoryDump Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理...项目提供的Collect-MemoryDump.ps1是一个PowerShell脚本文件,该脚本主要功能就是从一个活动的Windows操作系统中收集内存快照。 ...功能介绍 1、开始获取内存之前检查主机名和物理内存大小; 2、检查是否有足够的可用磁盘空间来保存内存转储文件; 3、支持收集原始内存转储 w/ Dumplt; 4、从Magnet Idea...产品); 8、支持枚举目标主机中的所有必要信息,以丰富DFIR工作流; 9、支持创建受密码保护的安全存档容器; 工具下载&部署 广大研究人员可以直接访问该项目的【Releases页面】下载最新版本的...Live RAM Capturer 2、Comae-Toolkit 3、MAGNET Encrypted Disk Detector 4、MAGNET Ram Capture 接下来,将工具所需的文件拷贝到下列文件路径
DLL文件,该DLL文件会加载自动提升的COM对象,并于没有弹出提示的情况下在,高权限的受保护目录中执行文件操作。...凭证转储(Credential Dumping) 凭据转储是从操作系统和软件中获取身份凭证(包括帐户登录名和密码信息和其他凭证文件)的过程,通常以哈希或明文密码的形式。...以下工具可用于枚举凭据: Windows Credential Editor Mimikatz、Mimikatz2 与内存转储技术一样,LSASS进程内存也可以从目标主机中转储并在本地系统上进行分析。...MimiPenguin工具可用于转储进程内存,然后通过查找文本字符串和正则表达式模式来收集密码和哈希,以了解给定的应用程序(例如Gnome Keyring,sshd和Apache)如何使用内存来存储此类身份验证工件...主要利用方式有以下几种: 通过反汇编分析微软系统自带的DLL文件并找出可利用的函数,通过rundll32.exe调用来执行恶意操作,如 rundll32 url.dll, OpenURL file://
此 EDR 严重依赖内核回调,其许多功能驻留在其网络过滤驱动程序和文件系统过滤驱动程序中。对于几个检测,还使用了用户模式挂钩。例如,考虑内存转储(DUMP PROCESS MEMORY)的检测。...正如 Carbon Black 的文档中提到的,用户态 API 挂钩被设置为检测进程内存转储。另一个例子是检测加载到内存中的脚本解释器(HAS SCRIPT DLL)。...这种心态的一个例子是 LSASS 转储保护基于内核级别,它处理依赖于 LSASS 句柄打开的用户模式转储技术。...还使用将上传可疑文件并检查它们的云启用了文件和内存内容分析。 B)原始实验 CPL - EXE - HTA: 这些向量中的大部分在接触磁盘或被执行时就被检测到。在下图中找到相关警报。...图片 在下面找到为实现“卧底”LSASS 转储而遵循的程序。注意如何将虚拟地址转换为物理地址以成功执行补丁。这是因为这是要写入的只读页面,任何强制尝试写入都会导致蓝屏死机。
看雪-VMProtect分析与还原VMProtect是一种针对Windows应用程序和DLL的软件保护工具。它通过将原始的可执行文件转换成虚拟机指令集,使得对代码的反汇编和逆向工程变得更加困难。...以下是对VMProtect的介绍和分析:介绍:保护技术: VMProtect采用虚拟机技术,将原始的机器码转换成虚拟指令集,使得反汇编和逆向工程变得更加困难。...它还提供了代码加密、反调试、反内存dump等多种保护技术兼容性: VMProtect支持保护32位和64位的Windows应用程序和DLL,可以用于保护各种类型的软件,包括游戏、商业应用程序等。...功能特点: VMProtect提供了丰富的功能特点,包括代码混淆、动态调试检测、虚拟化保护、硬件绑定等,可以根据实际需求选择不同的保护策略。...分析:保护效果: VMProtect采用虚拟机技术,可以有效防止代码被反汇编和逆向工程,提高了软件的安全性。
,更改故障转储文件到一个特权路径,如: \Documents and Settings\Administrator\DrWatson\ 或取消“建立故障转储文件”选项。...drwtsn32.exe故障转储文件默认权限设置不当,可能导致敏感信息泄漏。 影响系统: 当前全部Windows版本号 具体: drwtsn32.exe(Dr....DrWatson\ 或取消“建立故障转储文件”选项。...及相关资料: 近期遇到一个问题,就是在文件上始终无法点击,drwtsn32.exe故障转储文件默认权限设置不当 描写叙述:drwtsn32.exe故障转储文件默认权限设置不当,可能导致敏感信息泄漏。...\DrWatson\ 或取消“建立故障转储文件”选项。
发现使用 procdump 或者任务管理器转储内存的行为 mimikatz 等获取密码的工具很容易被杀毒软件报毒,有一种更好的解决方案是使用 Procdump 或者任务管理器转储lsass进程的内存至文件...或者 dbgcore.dll 的日志,从而检测是否发生了内存转储行为。...sysmon 监控到的任务管理器转储内存的日志,调用了“C:\WINDOWS\SYSTEM32\dbgcore.DLL”: ?...至此,我们已经借助 sysmon 分析出当前操作系统中发生过的内存转储行为,当然防御时必须提前配置 sysmon 进行监控。...在这一部分中,我们将演示攻击者如何利用其来躲避检测软件,并给出一些分析人员进行检测时可以参考的信息。
然后将其重命名为“ file * .exe”,并最终执行。 ? 执行Payload “ file1.exe”是受保护的有效负载, 启动时将QBot提取到内存中并执行。...4、它检查是否加载特殊Dll文件以及当前进程名称是否包含“ sample”,“ mlwr_smpl”或“ artifact.exe”来确定当前进程是否正在“ Sandboxie”中运行。...主文件夹的名称是随机生成的,然后它将file1.exe复制到主文件夹中,并将其重命名为“ mavrihvu.exe”,文件名是根据受害者的用户名生成的。 ?...转储并分析PE文件,发现它是一个Dll文件(QBot的核心模块)。它包含核心模块使用的三个资源“ 308”,“ 310”和“ 311”。.图4.2显示了PE分析工具中转储的三个资源。 ?...完成上述步骤后调用核心模块的入口点。 ? 总结 本报告第一部分中详细说明了Office Word文档如何通过恶意宏下载QBot变体,以及它如何使用复杂的技术隐藏和保护自己。
【恶意进程启动】 Veeamp.exe是一个用C#语言编写的定制数据转储程序,它利用Veeam备份和恢复服务中的安全漏洞连接到VeeamBackup SQL数据库并获取帐户凭证。...为了找到Cobalt Strike C2服务器,研究人员检查了加载了ion.dll的rundll32内存转储,并使用与受害者主机相同的设置运行。...【rundll32内存转储】 找出C2的名称有助于研究人员在遥测数据中定位与该服务器的通信历史。在恶意软件连接到C2后,它将两个可疑文件下载到受感染服务器的Windows文件夹中,然后执行这些文件。...不幸的是,研究人员无法获得这两个文件进行分析,因为这些文件被从受感染的主机上删除了。...然而,研究表明,即使启用所有的Windows保护功能并实践所有上述建议也无济于事,像这样的攻击无论如何都会通过。
执行流程如下图所示: 执行流程图 在免杀层面上,该病毒文件使用了包括:多层 PE 流调用、VMProtect 和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆等多种技术来进行对抗...其中 look2.exe 存放于用户的 TEMP 目录中,而 "HD_malware.exe" 则释放到桌面下,并赋予 "隐藏属性和系统保护属性" 隐藏自身。...父子进程交互 后续操作中,look2.exe 会尝试获取系统目录,然后释放一个以时间戳命名的 bat 文件,该文件实则为用于加载的 DLL 文件。...EXE 文件 HD_.cache_HD_malware.exe 内嵌的 EXE 文件在释放时会再次以 “HD_” 做前缀,其同样被设置系统保护和隐藏属性,并且套用 SE 壳试图隐藏逻辑: 套用 SE...下载文件并执行 Computer.exe Computer.exe 是一个引导程序,用于引导内嵌的 DLL 加载执行。
关于MemTracer MemTracer是一款功能强大的内存扫描工具,该工具提供了一种实时内存分析功能,可以帮助广大研究人员或数字取证专家扫描、发现和分析隐藏在内存中的不易被发现的恶意行为或网络攻击痕迹...因为MEM_COMMIT标志用于为虚拟内存的使用保留内存页; 2、目标内存区域中的页面类型,MEM_MAPPED页面类型表示内存区域内的内存页面被映射到了一个内存区域视图中; 3、目标内存区域中的内存保护...该工具首先会扫描正在运行的进程,并分析分配的内存区域特性,以检测反射型DLL加载痕迹。...随后,该工具便会将被识别为DLL模块的可疑内存区域转储以进行进一步的分析和调查。...除此之外,该工具还提供了下列功能选项: 1、转出存在安全问题的进程信息; 2、将受损进程的信息转储到一个JSON文件中,例如进程名称、进程ID、进程路径、进程大小和基地址等信息; 3、通过名称搜索特定的已加载模块
XP 和2003) consoles:提取执行的命令行历史记录(扫描_CONSOLE_INFORMATION信 息) crashinfo:提取崩溃转储信息 deskscan...KDBG值 kpcrscan:搜索和转储潜在KPCR值 ldrmodules:检测未链接的动态链接DLL lsadump:从注册表中提取LSA密钥信息(已解密) machoinfo...:转储Mach-O文件格式信息 malfind:查找隐藏和插入的代码 mbrparser:扫描并解析潜在的主引导记录(MBR) memdump:转储进程的可寻址内存...:将物理内存原生数据转换为windbg崩溃转储格式 screenshot:基于GDI Windows的虚拟屏幕截图保存 servicediff:Windows服务列表 sessions...相关信息 userhandles:转储用户句柄表 vaddump:转储VAD数据为文件 vadinfo:转储VAD信息 vadtree:以树的形式显示VAD树信息
github 项目https://github.com/helpsystems/nanodump 这个项目的特点: 使用系统调用(使用SysWhispers2)进行大多数操作 可以选择在不接触磁盘的情况下下载转储或将其写入文件...默认情况下,小型转储具有无效签名以避免检测 通过忽略不相关的 DLL 来减小转储的大小,转储的大小往往在 10 MB 左右 不需要提供 LSASS 的 PID(默认是不提供的) 不调用dbghelp或任何其他库...,所有转储逻辑都在 nanodump 中实现 可以使用 .exe 版本在 Cobalt Strike 之外运行nanodumpz 值得一提的是,这个项目能过windows defender 进行dump...值得注意的是: 文件小是因为忽略lsass中的大部分内容并仅保留与 mimikatz 相关的那些,例如 kerberos.dll 和 wdigest.dll 编译就不说了,一个命令搞定,不能就两个。...可以看到在dump lsass内存的手法上免杀成功总结大概几点: 系统调用实现大部分功能 混淆内容 使用命名管道传输结果,实现无文件 不再调用dbghelp库文件 小型转储,无明显特征 热爱免杀
不使用mimikatz的情况下转储lsass进程提取凭据 参考: 渗透技巧——使用Mimilib从dump文件中导出口令 Mimilib利用分析 转储lsass.exe 进程的方法如下: 使用ProcDump...Dump lsass 进程 在powershell中使用Out-Minidump Dump lsass 进程 直接使用任务管理器转储文件 comsvcs.dll转储文件 任务管理器转储文件只需要当前用户是管理员组内账户即可...,但是不要认为转储文件只要需要标准用户的权限(完整性Medium),开启UAC时,管理员账户使用任务管理器转储文件,任务管理器的完整性为High,所以才能操作System完整性的lsass.exx进程。...Get-Process 824 #写入dump文件的目录注意权限,一般选择Temp等有权限写入的目录 ? 进程转储文件到本地mimikatz读取即可: ?...目标机器上管理员权限执行,自动dump lsass 进程的转储文件。 ? lsass.dmp下载到本地使用 mimikatz 解密就好。
0x01 方法 1.kill 掉杀软保护的进程 首先想到的就是关掉杀软的进程,但是肯定要高权限,但是之前尝试内网渗透时遇到了某数字......通过蓝屏获取 memory.dmp 绕过卡巴 深夜扒土司扒博客,找到了大佬的文章 通过 Windows 蓝屏文件来绕过 kaspersky 的内存保护抓密码 文章地址:https://www.mrwu.red...看土司上大佬的帖子说,系统默认在蓝屏的时候只核心内存转储,需要去 "系统保护"(或者 "高级系统属性")-->"启动和故障恢复"-->"写入调试信息" 中修改为完全内存转储,否则获取到的 dmp 文件中没有...dll 到 lsass.exe 进程里,让 lsass.exe 自己 dump 出内存文件。...各种报错,最后用 VS2019 设置字符集为多字节字符集,并且在头文件加了一个库文件解决了编译问题: #pragma comment(lib,"rpcrt4.lib")dll 代码可以直接参考 Ateam
领取专属 10元无门槛券
手把手带您无忧上云