某大型活动还有一段时间，但是总会有很多新工具出现，想用但不敢用该怎么办，还是需要先了解下常见的源码投毒方式吧 方法1.代码带毒直接在代码中实现一个后门，常见的操作包括但不限于在程序启动时，按钮点击时，程序结束时等位置添加恶意代码。常见恶意代码为反向shell或各式各样的shellcode加载器 对于visual studio等编译器，不会在项目中显示未包含文件的代码，但是如果引用到了，依然会编译进

Pillager 介绍这是一个浏览器信息提取工具，将会长期维护，如果有任何问题或建议，欢迎发issues 在整理工具的过程中，发现目前的浏览器信息提取工具，普遍存在各种问题，最常见的如体积过大，缺少维护，Chrome提取都有可能存在问题，于是自己在现有工具的基础上进行整理，得到了这款工具 目前支持： IE/旧版Edge的密码，书签，历史记录提取 Chromium系浏览器的密码，书签，历

因为各种原因，接触了一些场景要对Telegram进行信息收集，这里就记录下基本思路，只涉及Windows的官方客户端 1.关于tdata正常安装的Telegram会安装至 %appdata%\Telegram Desktop，在这个目录中 modules文件夹存放了一个D3D的dll，tdata文件夹存放所有数据，unins000.exe/unins000.dat文件是卸载相关，Updater.e

早在疫情期间就经历了好久的线上考试，最近又遇到了类似的需求，正好就写写相关的东西吧。为了防止暴露是哪几款软件，文中就不放图了，只是说说方法。 逆向相关目前遇到过的主流是C#/Electron的程序，也有部分C++的程序。 C#的可以直接用DnSpy查看代码并修改 Electron的可以解包asar查看代码，修改后也可以打包替换回去 C++的一般IDA辅助分析后，可以手动跳过部分函数或判断

突发奇想的一个思路，不太好用就发出来玩玩吧 背景知识目录挂载subst是Windows自带的一个工具，可以将文件目录挂载为磁盘，但是重启后不会继续挂载了。 如果想长期挂载，需要修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices。 https://learn.microsoft.com/en-us/windo

这次是标题党了，主要还是记录一下自己在使用Appdomain中遇到的一点小坑 前情提要我一直很喜欢使用C#制作一些工具，或者制作一些技术的poc，在测试杀软对行为的拦截时为了避免频繁文件落地，都是使用对一个C#远控添加插件的方式测试的。 最常用的插件加载方式就是Assembly.Load了，使用过的都会发现这种方式可以加载不能卸载，用Procexp之类的软件可以很方便的查看进程内的Assembly

2022年过的真的很快啊，一转眼就2023了，本来想着元旦的时候，搞一点东西分享出来，但是因为太忙没有腾出时间，那就只好赶着春节前夕，水一点文章了。 CobaltStrike简介CobaltStrike是一套商业化的C2框架，提供了较好的兼容性和可扩展性，也因此成为了目前红队中最为广泛使用的C2。但是因为使用广泛，其特征也被大量采集，并用于识别beacon及TeamServer，这里我就简单的把自

起源一年多以前，Jonas L在推特首次提出了这个注入方法，并在评论区提出了一些可能的利用方法。半年前，有人在GitHub发布了一份Poc，某种程度上进行了对注入方案的验证。 原理控制台程序，会有一个对应的Code Page，也就是代码页，这个东西是字符代码的一个映射，每个控制台对应两个代码页，一个输入一个输出。 大部分Code Page都是nls文件，但是看到有一部分是dll文件，确切地说是5开

概述CVE-2021-1675 / CVE-2021-34527 这两个洞本质上就是一个洞，只是因为修复的问题分配了两个编号。具体的漏洞分析就不赘述了，很早就有人发过，没必要炒冷饭，这里只总结下实际使用时可能出现的问题，以及很多poc中不会提到的细节 复现攻击环境注意事项1.域相关目标机器为域内Windows Server机器时，攻击机必须为同一域内的机器；目标机器为非域环境Window

历时半个多月，删站的我又决定把博客搭起来了，这次从用了五年的Wordpress换成了Hexo，自动部署的纯静态博客似乎也是不错的 不过之前的文章没有保存了，很多都是早年写的东西，现在看来已经没有意义了 后面会尽量恢复记笔记的习惯，也就顺手更一些文章吧，希望我的文章可以帮到你