网易邮箱大师的账号接管网易邮箱大师的数据文件默认保存在 %LocalAppdata%\Netease\MailMaster\data\app.db内，此文件为Sqlite格式储存 获取目录app.db的Account表中的每一行对应一个账号，DataPath项对应的值即为账号信息保存目录。 接管账号本地安装网易邮箱大师后，将上一步获取的文件夹，复制回本地，依次点击设置-邮箱设置-导入邮箱数据，选

Chrome系列浏览器的信息提取Chrome浏览器的数据默认保存在 %LocalAppdata%\Google\Chrome\User Data内，此目录中 Local State文件保存了 MasterKey信息，Default目录保存了默认配置信息，如有更多配置，则保存于 Profile 数字的文件夹中 历史记录对于每一个配置文件夹，其中的 History文件即为保存为Sqlite数据库格式的

拿到装有宝塔面板的服务器后，在不登录面板的情况下不能直接查看数据库信息 为了解决这个问题，就制作了一个脚本去进行配置信息的解密 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253import os#使用前pip3 install PyCryptodome#

今年上半年，在开发 CobaltStrike 插件期间，没用遇到合适且长期更新的信息收集工具，便决定自己制作一款，也就有了Pillager项目。 这款工具旨在收集机器上浏览器，聊天软件，已经其他常用工具的凭证、记录等敏感信息，从而进行进一步的后渗透工作。 思路的确定最初的想法只是为了制作一个小巧简介的 BOF ，但是后期研究发现使用 BOF 开发并不合适，综合考虑下选择了使用C#开发。进而就要考虑

首先感谢Zy143L大佬进行的PCB板的设计和制作。 特点 附带tf卡槽，可自选是否附带储存空间 使用CH552单片机，方便上手 通用G2版型，方便购买或定制外壳 带有USBHUB，可以同时作为U盘和可编程USB控制设备使用 带有霍尔开关，用于控制烧写，也可用于连接后的控制开关，即使加壳也不影响后续烧写 成本低廉，适合大批量使用 使用方法1.准备环境Windows系统，安装Arduino IDE

某大型活动还有一段时间，但是总会有很多新工具出现，想用但不敢用该怎么办，还是需要先了解下常见的源码投毒方式吧 方法1.代码带毒直接在代码中实现一个后门，常见的操作包括但不限于在程序启动时，按钮点击时，程序结束时等位置添加恶意代码。常见恶意代码为反向shell或各式各样的shellcode加载器 对于visual studio等编译器，不会在项目中显示未包含文件的代码，但是如果引用到了，依然会编译进

因为各种原因，接触了一些场景要对Telegram进行信息收集，这里就记录下基本思路，只涉及Windows的官方客户端 1.关于tdata正常安装的Telegram会安装至 %appdata%\Telegram Desktop，在这个目录中 modules文件夹存放了一个D3D的dll，tdata文件夹存放所有数据，unins000.exe/unins000.dat文件是卸载相关，Updater.e

早在疫情期间就经历了好久的线上考试，最近又遇到了类似的需求，正好就写写相关的东西吧。为了防止暴露是哪几款软件，文中就不放图了，只是说说方法。 逆向相关目前遇到过的主流是C#/Electron的程序，也有部分C++的程序。 C#的可以直接用DnSpy查看代码并修改 Electron的可以解包asar查看代码，修改后也可以打包替换回去 C++的一般IDA辅助分析后，可以手动跳过部分函数或判断

突发奇想的一个思路，不太好用就发出来玩玩吧 背景知识目录挂载subst是Windows自带的一个工具，可以将文件目录挂载为磁盘，但是重启后不会继续挂载了。 如果想长期挂载，需要修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices。 https://learn.microsoft.com/en-us/windo

这次是标题党了，主要还是记录一下自己在使用Appdomain中遇到的一点小坑 前情提要我一直很喜欢使用C#制作一些工具，或者制作一些技术的poc，在测试杀软对行为的拦截时为了避免频繁文件落地，都是使用对一个C#远控添加插件的方式测试的。 最常用的插件加载方式就是Assembly.Load了，使用过的都会发现这种方式可以加载不能卸载，用Procexp之类的软件可以很方便的查看进程内的Assembly