系列文章
【第 21 話】驅動程式數位簽章
文章大綱 在【第 20 話】BYOVD 攻擊認識了 BYOVD 的原理與目的,如果有像是【第 13 話】CVE-2020-17382 研究-Buffer Ove...
【第 22 話】攻擊數位簽章機制
文章大綱 在【第 21 話】驅動程式數位簽章我們認識了數位簽章,並且用 WinDbg 竄改 DSE,載入未簽章的驅動程式。 這篇要結合【第 14 話】CVE-2...
【第 23 話】DKOM 隱藏 Process(上)
文章大綱 在【第 20 話】BYOVD 攻擊中有提到惡意程式會利用 BYOVD 攻擊隱藏蹤跡,其中包含隱藏 Process。這篇會先介紹透過 DKOM 技術隱藏...
【第 24 話】DKOM 隱藏 Process(中)
文章大綱 在【第 23 話】DKOM 隱藏 Process(上)了解 DKOM 的原理,這篇要帶大家用 WinDbg 實作,利用 WinDbg 竄改結構達到隱藏...
【第 25 話】DKOM 隱藏 Process(下)
文章大綱 在【第 23 話】DKOM 隱藏 Process(上)了解 DKOM 的原理,並且在【第 24 話】DKOM 隱藏 Process(中)用 WinDb...
【第 26 話】Kernel Callback 隱藏 Registry
文章大綱 這篇要講解 Windows 中的 Kernel Callback 機制,以及利用這個機制從 Kernel 隱藏 Registry,躲過 RegEdit...
【第 27 話】Minifilter 保護檔案
文章大綱 這篇要介紹有別於 WDM 驅動程式的架構 Minifilter,說明它的原理以及要如何使用 Minifilter,實作一個非常簡單的保護檔案功能,從...
【第 28 話】Minifilter 隱藏檔案
文章大綱 在【第 27 話】Minifilter 保護檔案說明了 Minifilter 的概念,然後實作保護檔案的功能。在【第 20 話】BYOVD 攻擊中提到...
【第 29 話】WFP 監控流量
文章大綱 這篇要介紹用來監控、過濾、修改網路封包的 WFP,說明它的原理以及要如何使用 WFP 實作監控 ipv4 網路行為的功能,從 Kernel 印出 ip...
【第 30 話】WFP 隱藏流量
文章大綱 在【第 29 話】WFP 監控流量說明 WFP 的運作方式與基本使用,這篇要模擬攻擊者利用 WFP 與 C2 溝通。在驅動程式接收到含有特定字串的封包...