走在時代前沿的前言 Ayo 各位早安。昨天已經介紹了 Process Injection 中的 DLL Injection 了，今天會來介紹另一個 Process Injection 的技術：Shellcode Injection。 那就開始囉！ 完整程式碼可於此處找到：https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Process-Injection/Shellcode-Injection/shellcode_injection/ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 進程枚舉 在我們昨天的內容當中，有提及過如果要執行 Process injection，勢必需要先枚舉當前運行中的 ...

走在時代前沿的前言 Ayo 各位我又回來了。大家還記得我們在第 13 天的時候有介紹過如何在惡意程式本地執行 Payload 嗎（本地就是指在我們編寫的惡意程式的進程中執行）？那時候提到了兩種手法，使用 DLL 或是使用原始 Shellcode。 今天要講的內容也和第 13 天類似，只不過我們今天要做的是在遠端的進程執行。聽起來很酷吧，如果有興趣那就讓我們繼續看下去囉！ 完整程式碼可於此處找到：https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Process-Injection/DLL-Injection/dll_injection/ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 進程枚舉 今 ...

走在時代前沿的前言 哈囉各位，我是 CX330。 如果還沒有看過這篇文章的（上）的可以先去看一下，在（上）裡面我們介紹了使用網頁伺服器作為階段式部署的工具，今天我們要介紹使用 Windows 登錄檔（Windows registry，中國譯為註冊表）來做到這件事！ 今天的內容會主要分為兩個大部分，第一個部分是把加密或是混淆過的 Payload 寫進登錄檔，第二部分會從登錄檔讀取 Payload，並解密然後執行它。 那我們開始吧！ 完整程式碼可於此處找到：https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Payload-Staging/windows_registry/ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本 ...

走在時代前沿的前言 嗨大家，昨天真的是好險，我在 23:57 分 57 秒才送出，實在是超級驚險。 那昨天跟大家介紹了 Payload 的執行方式，包括使用 Shellcode 執行或是載入 DLL 的方式。不過我們到目前為止，實作的方式都是直接把 Payload 放在我們的 Binary 裡面，雖然這樣很快速，但是常常會有一些限制（如大小限制等）。所以我們今天會來介紹另一種把 Payload 部署進程式的方式，我把它稱作階段式的 Payload 部署（Payload staging）。 那本文會分為上下兩篇，上篇會介紹一種利用網頁伺服器（Web server）來載入的方式，下篇會介紹使用 Windows 註冊表的方式。那就開始囉。 完整程式碼可於此處找到：https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Payload-Staging/web_server/ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元 ...

走在時代前沿的前言 早安大家，現在是早上 5 點，我是 CX330。待會有個比賽所以很怕寫不完，先熬夜寫一點起來（T^T）。 昨天介紹了 Windows 作業系統中的進程與線程，也深入的看了一下 PEB 和 TEB 兩個結構體。今天要來看一下 Payload 通常是如何被執行的。我們會繼續使用 Zig 程式語言實作兩種不同的執行方式，那就廢話不多說，讓我們開始今天的訓練吧蜥蜴們！ 對了，今天的範例都可以在這個專案中找到，可以去看完整的程式碼。 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 透過 DLL 執行 我們要介紹的第一種方式，是當 Payload 作為一個 DLL 而存在的時候會執行的方式。 由於先前一直沒有好好介紹動態連結函式庫（Dynamic-Lin ...

走在時代前沿的前言 嗨大家好，我又回來了。昨天我們已經一起實作了一個好用的加密和混淆器，不知道大家對 Zig 這個語言的感受如何，歡迎留言和我分享。 今天的內容會是講一下 Windows 的進程和線程，以及各自對應的一些神奇結構體。 開始囉！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 進程與線程 在 Windows 中，一個進程（Process）是運行在 Windows 電腦中的某個程式（Program）或是應用程式（Application）。進程可以被使用者給開啟，也可以被系統本身所啟動。在完成任務的過程中會去消耗系統資源，如記憶體、硬碟、中央處理器等等。 一個進程會由單個或是多個的線程（Thread）所組成，線程是一坨可以在進程裡獨立執行的指令的集合， ...

走在時代前沿的前言 嗨大家！歡迎大家來到第 11 天的內容，恭喜我們度過了 10 天大關！ 前天和昨天我們介紹了很多關於 Payload 的加密和混淆的手法，那在今天我們就會使用這些加密和混淆的手法，去實作一個幫助 Payload 加密和混淆的 CLI 工具啦！ 那我們廢話不多說，開始囉！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 ZYPE 介紹 你一定很好奇，ZYPE 是什麼呢？沒錯，就是我們今天要做的工具啦！這個東西其實是我之前就寫好了並開源放在 GitHub 上的，歡迎大家點進來這裡按星星。 那我先來介紹一下這個工具的使用方式吧！一開始，我們可以先用 MSFvenom 幫我們產生一個 Shellcode，等等會用來加密或混淆。這邊我們先產生一個用來在 ...