逆向病毒分析
PLAY勒索软件完整分析
PlayCTIPlay 勒索软件(又名PlayCrypt)活动至少从2022年7月中旬开始活跃。最多五张勒索信 play勒索软件已上传到病毒总数到目前为止。2022年8月中旬,首例公...
攻击者针对企业传播macOS恶意软件的7种方式
sentinelone的研究人员对macOS恶意软件的2022年审查显示,运行macOS终端的企业和用户面临的攻击包括后门和跨平台攻击框架的增加。像CrateDepression和PyMafka...
来自 LOLbins 的 Ursnif
Ursnif 是 Gozi 恶意软件家族的一个变体,最近针对北美和欧洲的各种实体开展了越来越多的活动。该活动似乎是在 4 月 6 日左右开始的,通过一些位于 8.208.90....
Reverse-engineering the ModR/M addressing microcode in the Intel 8086 processor
One interesting aspect of a computer's instruction set is its addressing modes, how the computer determines the address for a memory access. The In...
活跃的hoze挖矿木马分析
点击上方'蓝字'关注我们吧!01概述近期,安天CERT通过捕风蜜罐系统[1]捕获了一批活跃的hoze挖矿木马样本,该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进...
A tale of Phobos – how we almost cracked a ransomware using CUDA:ReverseEngineering
Abstract: For the past two years we've been tinkering with a proof-of-concept decryptor for the Phobos family ransomware. It works, but is impracti...
Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?
1. 概述近期,奇安信威胁情报中心威胁监控系统监测到一个基于GO语言编写的僵尸网络正在通过多个漏洞进行传播,经过分析确认该样本属于已经被披露的僵尸...
Hydrochasma:一个前所未见的团伙攻击亚洲的医学检验所和船运公司
亚洲的多家船运公司和医学检验所近日遭到一起活动的攻击,这起可能旨在收集情报的攻击完全依赖公开可用的离地攻击(LotL)工具。这起活动背后的威胁团伙Hydro...
A Practical Tutorial on PCIe for Total Beginners on Windows (Part 1)
Foreword about the series Hello! I have been speaking to some friends and coworkers lately interested in learning more about PCIe but feeling intim...
栈迁移详解
栈迁移详解栈迁移将ebp转移到bss或data段,在bss段或data段构造gadget然后在这里执行leave相当于mov esp,ebp pop ebp;ret相当于pop eip;mov esp,ebp 让esp指...