- 综合排序
- 最热优先
- 最新优先
- 来自专栏爱打音游的大A
ROOT检测与绕过
在逆向过程中常常会遇到ROOT检测的问题,假如无法绕过,就很难使用Xposed和Frida等常用工具,给逆向造成很大的困难。 我个人认为ROOT的检测与绕过是一种基于Pattern的对抗,检测方根据ROOT后手机的一些特征Pattern来检测ROOT,而绕过方则是根据检测方的各种检测方式来设计各种绕过方法。 本文主要总结一下平时遇到过的ROOT检测方式,以及绕过的一些思路。 ,一度放弃了正面硬刚,采取了一些Trick绕过了ROOT检测(下文会讲)。 ROOT绕过 检测ROOT的方式相对固定,但是ROOT绕过的方式可以有很多 硬刚 最最直接的ROOT检测方式就是找到APP中ROOT检测的逻辑然后直接返回False就行了,不多赘述 Objection
6K21编辑于 2023-02-14 - 来自专栏Khan安全团队
绕过 XSS 检测机制
虽然 WAF 供应商仍在尝试机器学习,但正则表达式仍然是检测恶意字符串的最广泛使用的方法。 第一个正则表达式的限制非常严格,无法绕过,而黑名单类型模式通常使用不太知名的事件处理程序绕过,这些事件处理程序可能不存在于黑名单中。 // ////////example.com/xss.js绕过(http(s)?)?// /\///\\/example.com/xss.js绕过(http(s)?)? 有效载荷的结构取决于代码本身,这种不确定性使其很难检测到。但是,如果需要,可以对代码进行混淆处理。 这个有效载荷方案应该在其他所有事情之前尝试,因为它很简单,但它也很可能被检测到。
1.5K20编辑于 2022-05-17 XSS检测绕过(UTF-7编码绕过)
叮咚,现场运维来消息了,说项目被检测到有高危漏洞,要求修复,以为就是jar安全漏洞,升级就完事了,就让发过来看看,亚麻袋住了,“XSS检测绕过(UTF-7编码绕过)”,从没见过啊,还是UTF-7。 想到可以用Filter过滤器对参数拦截,那就动手来吧,以项目SpringCloud Zuul为例# xss regexxss: enable: true regexes: # UTF-7编码绕过
28610编辑于 2025-10-18- 来自专栏红队蓝军
syscall的检测与绕过
eax,0C5h syscall ret NtCreateThreadEx endp end 通过procmon进行监控 此时直接通过我们的主程序进入ring0 syscall的检测与绕过 当然也可以检测syscall指令,但是这个指令可以同int 2e中断门进0环的方式绕过,也可以加一个int 2e的规则。 这也正是SysWhispers3为了规避检测做的升级之一,称为EGG的手段。 ,原因是有了更加准确的检测方式。 此时当ring0返回的时候,rip将会是你的主程序模块内,而并不是在ntdll所在的范围内,这点是很容易被检测也是比较准确的一种检测方式。
1.7K20编辑于 2023-02-25 - 来自专栏Khan安全团队
Microsoft Windows Defender 检测绕过
【漏洞类型】 Windows Defender 检测绕过 TrojanWin32Powessere.G - 后门:JS/Relvelshe.A 目前,Windows Defender 检测并阻止利用 但是,它可以通过在引用 mshtml 时传递额外的路径遍历来轻松绕过。 C:\>rundll32.exe javascript:"\..\.. 但是,在构建有效负载的 URL 方案部分时,可以通过使用串联来绕过这种干扰。 C:\>rundll32.exe javascript:"\..\..\.. Windows Defender 还阻止下载的代码执行,检测为“Backdoor:JS/Relvelshe.A”,一旦它命中 InetCache,就会被 Windows Defender 删除。 Windows\INetCache\IE\2MH5KJXI\hi.tmp[1]" 但是,这很容易通过十六进制编码我们的有效负载代码 new ActiveXObject("WScript.Shell") 绕过
1.5K10编辑于 2022-01-14 - 来自专栏FreeBuf
红队技巧:绕过Sysmon检测
它们非常灵活的配置使他们可以深入了解设备上的活动,从而使检测攻击者的过程变得更加容易。出于这个原因,我将带领您完成击败他们的旅程;) xpn和matterpreter对此进行了一些出色的研究。 为了弄清楚如何绕过它,至关重要的是首先了解它是如何工作的。 启动Ghidra并启动sysmon64.exe,我们可以看到它使用ReportEventWWindows API调用来报告事件。 ?
1.6K20发布于 2020-05-14 - 来自专栏我命由我不由天
检测服务器端口是否被占用
1 for (int port=begin; port <= end; port++){ 2 /*定义socket*/ 3 int server_sockfd = socket(AF_INET, SOCK_STREAM, 0); 4 5 /*定义sockaddr_in 的变量*/ 6 struct sockaddr_in server_sockaddr; 7 server_sockaddr.sin_family
1.5K30发布于 2019-09-11 - 来自专栏FreeBuf
如何绕过现代Process Hollowing检测机制
虽然我没有用当前所有的反病毒产品对本工具进行测试,但这项绕过技术应该是不会被检测到的。我在本文末尾还给出了一份PoC代码,感兴趣的同学可以通过分析代码来了解其工作机制。
1.4K90发布于 2018-02-26 - 来自专栏Y5neKO博客
百一测评网站切屏检测绕过
之前有些考试软件防止切屏可以用虚拟机,稍微复杂一点,至于浏览器检测切屏,无非就是检测焦点,像有些网站的动态标题就是这样,那么用什么来实现检测焦点呢?这里不得不提到JavaScript。 rightKey:false,//右键 partSeq:null, questionId :null } 按理来说只要把leaveTimeLimit替换成一个大数字使其限制增大就能绕过 这种方法的优点是:简单方便,即改即用,打开开发者工具就可以自己调试;缺点是,可以通过反调试来阻止你修改,能不能绕过反调试就看对面的设计逻辑了,比如万一给你整个debugger无限断点什么的。 刚刚也提到了,按理来说只要修改了leaveTimeLimit的值为超大数值,就可以绕过限制,那么结果究竟是不是这样呢?我们来一步一步调试,端好小板凳跟我来。 countLeaveTime和leaveTimeLimit值的 改特殊情况判定条件: 直接往switchTimesFilter函数里面加一个无条件过滤 改leaveInterval判定条件: 成功绕过切屏检测
4.8K30编辑于 2022-01-13 - 来自专栏日常记录
iframe 绕过 微信公众号文章防盗检测
多说无益 贴一段使用的代码 getUrl(URL){ //url 为微信公众号文章链接 let http = (window.location.protocol === 'http:'
4.3K20发布于 2019-03-28 - 来自专栏Laikee Tech Space
Nmap web在线精确扫描、检测服务器端口开放
可以见我实现的功能: 端口开放在线检测工具
3.4K40编辑于 2022-04-25 如何检测和解决服务器端口被占用的问题
要检测和解决 服务器端口被占用 的问题,可以分为三个步骤:检测 → 分析 → 解决。我帮你梳理一下常见的方法(Linux 和 Windows 都给你整理了): 一、检测端口占用情况1.
1.7K10编辑于 2025-08-29- 来自专栏HACK学习
实战 | 文件上传漏洞之最全代码检测绕过总结
后端校验是防御的核心,主要是禁止对上传的文件目录进行解析,上传的文件随机且检查后缀名,设置文件后缀白名单(在使用PHP的in_array函数进行后缀名检测时,要注意设置此函数的第三个参数为true,不然可通过此函数缺陷绕过检测 ),对文件内容、大小和类型进行检测等。 前端检测的绕过方法十分简单,这里就不详细展开讲解了。 扩展名黑名单绕过 黑名单检测:一般有个专门的 blacklist 文件,或者黑名单数组,里面会包含常见的危险脚本文件扩展名。 注:PNG与JPG格式的二次渲染绕过就没有那么简单了,详细分析过程可以参考如下文章: https://xz.aliyun.com/t/2657#toc-6 条件竞争绕过 条件竞争漏洞是一种服务器端的漏洞
17K42编辑于 2022-02-17 - 来自专栏FreeBuf
Process Doppelgänging:绕过杀软检测的新技术
这样的结果就是我们可以为修改版的可执行文件建立进程,而杀毒软件的安全机制检测不到。 更加高级的取证工具比如Volatility也检测不了。 研究人员利用Process Doppelgänging方法运行Mimikatz,但是没有被检测出来。 在NTFS transaction的过程中好像不能扫描文件,这就解释了那些杀毒软件为什么检测不到,之后我们再回滚transaction,也就没有痕迹了。” Process Doppelgienging现在加入了去年发现的新攻击方法列表(如Atom Bombing,GhostHook和Propagate),这些攻击方法很难被杀毒软件中检测和修复。
1.2K100发布于 2018-02-26 - 来自专栏代码审计
浅谈文件上传漏洞(客户端JS检测绕过)
下面通过实例,如果程序只进行了客户端JavaScript检测,咱们如何来绕过。 正文 工具准备:DVWA程序,burpsuite,中国菜刀。 二,发现只进行了客户端JavaScript检测。 三,通过burpsuite 抓包,修改文件后缀名绕过检测,上传一句话木马。 四,通过中国菜刀进行连接 五,获取到目标网站webshell
4.2K20发布于 2020-09-27 - 来自专栏信安之路
一种 Powershell 的混淆方式绕过 AMSI 检测
Windows 使用 AMSI(反恶意软件扫描接口)检测恶意有效负载。现在,对于检测 PowerShell 部分,AMSI 使用基于字符串的检测。 因为 AMSI 可以直接检测到 base64 以外的恶意字符串,也可以轻松解码 base64 并检测 PowerShell 命令中使用的字符串。 但是,如果我们把它们缝合在一起,那么脚本就作为一个有效负载,可以很容易地使用 YARA 或基于字符串的检测来检测。 Firefox/56.0`r`nAccept: text/html`r`n`r`n" $s = [System.Text.ASCIIEncoding] [byte[]]$b = 0..65535|%{0} 现在,绕过 它仍然阻止默认有效负载,但当我们使用自定义有效负载时,它会绕过 AMSI。
4.8K40发布于 2021-03-25 - 来自专栏潇湘信安
Cobalt Strike – 绕过C2网络检测
如有英文阅读能力建议阅读原文:https://newtonpaul.com/cobalt-strike-bypassing-c2-network-detections/ 0x01 介绍 在这篇小博文中,我们将研究如何轻松绕过 Cobalt Strike beacon 的网络检测。 此外,IDS 和 IPS 还具有对 C2 流量的基本检测,这些检测基本上是在网络数据包中寻找特定的模式。 由于有效负载未加密,HTTP beacon 很容易被检测到。对于 HTTPS 连接,会在用于加密的证书上进行检测。 与任何利用工具一样,如果您使用默认值,很可能会被检测到。 然而,这些也已经被指纹识别,并且也会产生检测。GitHub 上提供的配置文件更多地旨在测试您对过去在野外看到的不同 APT 和 CrimeWare C2 的检测能力。
1.4K10发布于 2021-07-27 - 来自专栏信安之路
利用Java反射和类加载机制绕过JSP后门检测
本文主要讨论利用 Java 反射机制和 Java 类加载机制构造 JSP 系统命令执行后门,并绕过一般软件检测的方法。 0x04:使用 Java 反射机制绕过检测 Runtime 类的 exec 方法在 Webshell 中用的多了,极易被后门查杀软件检测到,那么就不能用 exec 函数来执行系统命令了嘛? 其实到这里,利用 Java 的反射机制来绕过查杀软件检测已经讲的差不多了。 0x05:使用 Java 类加载机制绕过检测 Java 类加载机制简单来说就是 JVM 查找到类的所在位置,并将找到的 Java 类的字节码装入内存,生成对应的 Class 对象。 0x06:获得 Class 对象的四种方法 在以上文章中,其实我们大部分篇幅都是围绕着 Java 语言中获得 Class 对象的四种方法,构造绕过检测软件的执行系统命令的后门的。
2.7K00发布于 2018-08-08 - 来自专栏FreeBuf
新型诈骗花样多,使用多种混淆方法绕过安全检测
虽然目前大多数反病毒产品都能够检测到这种类型的攻击,即技术支持诈骗(TSS),但网络攻击者现在又开始采用各种新的技术来绕过这种安全检测了。 ? 手法解构 网络犯罪分子为了绕过这种安全检测,TSS开发人员设计出了一种脚本混淆技术来呈现页面中的诈骗信息,并绕过检测。 这种混淆技术包括Base64编码,开发自定义混淆程序,或者使用AES加密来隐藏脚本以绕过检测引擎。 在对恶意代码进行混淆处理的时候,传统的TSS攻击者一般只注重一种方法。 但是根据赛门铁克最新的研究报告,网络犯罪分子再一次升级了他们的技术支持诈骗攻击,为了绕过安全检测,或增加检测难度,他们正在使用多种混淆技术来对恶意脚本代码进行隐藏处理。 因此,我们可以认为,这种技术支持诈骗技术使用了现成的编码技术来欺骗反病毒引擎并绕过安全扫描。”
74330发布于 2018-12-28 - 来自专栏FreeBuf
如何使用Killer绕过AV和EDR等安全检测产品
关于Killer Killer是一款针对AV和EDR的绕过工具,在该工具的帮助下,广大研究人员可以通过绕过AV和EDR等安全检测工具,来测试目标安全防护产品的安全性能。 功能介绍 1、实现了针对内存扫描绕过的Module Stomping技术; 2、通过刷新ntdll副本解DLL钩子; 3、IAT隐藏和混淆&API解钩子; 4、实现了用于用于绕过某些安全控制的 (向右滑动,查看更多) 最后,你就可以处理你自己的解密函数了,工具运行后的结果如下所示: 检测结果 项目地址 Killer:https://github.com/0xHossam/Killer
69920编辑于 2023-08-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号