Dirty Vanity 来自N年前的注入手法前言这篇文章是我在学习DI在2022年BlackHat会议上所讲的内容，并且将它写成了rust程序。其内容十分简单但是shellcode中有一个坑需要注意。（本文是酒后所写 如有问题等我酒醒了再修 别问我为什么情人节在写博客 因为陪对象看电影看精神了 理论分析让我们来回顾一下常规的注入手法，VirtuallAllocEX-WriteProcessM

前言先说一下前言吧，当初买这块网卡是因为逛咸鱼的时候发现这张网卡是船新且箱书全才入的。但是经过研究Netronome公司貌似已经停止更新官网网站一年了。 后来在搜索的时候查到了另一家公司 Corigine 。发现Netronome公司的产品Agilio系列网卡已经改头换面可能是被国产公司收购了。由于我买的是老版本所以lspci中会显示Netronome，如果是新产品就会改为Corigine。 本

PS225的踩坑日志 最近从群友白嫖到了两张ps225 索性有了本篇文章。 PS225的架构ps225是一个经典的dpu，8核心arm72搭配自家的以太网控制器Nitro组成 看到这张图的时候我在想，这个产品会与Mikrotik的CCR2004-1G-2XS-PCIe差距有多大。因为Mikrotik的结构与其类似，都是SOC连接网口。以至于我一直怀疑这个产品的性能到底会怎么样。 CCR2004

微步沙箱分析-Day2.5 这是Day2.5 用来总结一些奇淫艺技用的 QQ内存大小判断法之前有人说可以使用检查QQ内存大小来判断是否为微步沙箱 于是我们来测试下看看 糊了一个程序 1234567891011121314use std::process::Command;use sysinfo::{System};fn main() { println!(&q

微步沙箱分析-Day2这篇文章的兴趣来源是某位大哥在疯狂的上传SandboxChecker,所以我来按时间分析一下他的实验成果. SandboxChecker V1.0 大概是最初的版本,只检测了CPU制造商和是否支持SSE SandboxChecker V1.1 在经过40分钟后,又上传了新的SandboxChecker 我称之为V1.1 小版本号更新一下吧 虽然功能完全不一致 V1.1版

微步沙箱分析-Day1 算是一篇简单的水文,主要是吐槽以前有人提出的 微步沙箱里面有CrowdStrike. 也不知道从哪看来的文章就开始信口开河. 纪念某泄露版CS 正文部分在查看进程中,总是能发现微步把奇奇怪怪的.exe塞到 C:\Program Files\和C:\Program Files (x86)\中 以上进程甚至有Viper和微点(微点都死多少年了还能被拉出来鞭尸) 可以基本

FakeApp 远控执行分析又来啦又来啦，让我们来看看今天的FakeApp能给我带来什么样的惊喜呢！ 今日受害者 LINE 面对这种程序，我一直没有分析思路。如何去直接提取他的文件（或许可以丢给binwalk看看？（（好像不行 样本提取既然没法通过特殊手段提取这个样本，不如走点正常的流程，直接执行随后用Process Monitor对行为进行监控。 由于是之查看文件的行为，所以限定条件变成了进程

chm样本分析如果说上一篇文章是认真写的，那这一篇百分百属于，，摸鱼的内容了。 单纯的记录一下chm无文件攻击（吐槽 这样本是无文件转有文件攻击了X）如何分析吧 由于chm使用了 LZX 进行数据压缩，所以我们可以用7zip来看看里面都有什么（灵车 里面似乎有个html，打开后发现是js脚本。 12345678910111213141516171819202122232425262728293

VBE样本分析逛论坛的时候发现了许多VBE的样本，闲来无事就拿过来一个进行痛苦的分析） 样本解密 由于使用的是VBE加密，所以需要用到srcdec来进行解密嘞（感谢DI的赞助，所以不得不把分析环境切到虚拟机里） 吐槽下，由于编码问题需要指定codepage来进行解密。否则会出现乱码的情况 脚本结构解密完成后大概可以看到脚本结构了 123456789101112131415161718192021

使用Yubikey来签署Git Commits既然准备就绪 那我们就开始吧。一共有两种方法去生成GPG Key。 其一本机生成 GPG KEY，然后将数据导入到 YubiKey。其二直接在 YubiKey 上生成密钥。我将介绍后者的步骤。 需要的工具：gpg4win 安装完毕gpg4win后打开Kleopatra 修改Yubikey的Admin PIN与PIN Yubikey中pin的默认密码为