走在時代前沿的前言 嗨大家，昨天真的是好險，我在 23:57 分 57 秒才送出，實在是超級驚險。 那昨天跟大家介紹了 Payload 的執行方式，包括使用 Shellcode 執行或是載入 DLL 的方式。不過我們到目前為止，實作的方式都是直接把 Payload 放在我們的 Binary 裡面，雖然這樣很快速，但是常常會有一些限制（如大小限制等）。所以我們今天會來介紹另一種把 Payload 部署進程式的方式，我把它稱作階段式的 Payload 部署（Payload staging）。 那本文會分為上下兩篇，上篇會介紹一種利用網頁伺服器（Web server）來載入的方式，下篇會介紹使用 Windows 註冊表的方式。那就開始囉。 完整程式碼可於此處找到：https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Payload-Staging/web_server/ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元 ...

走在時代前沿的前言 早安大家，現在是早上 5 點，我是 CX330。待會有個比賽所以很怕寫不完，先熬夜寫一點起來（T^T）。 昨天介紹了 Windows 作業系統中的進程與線程，也深入的看了一下 PEB 和 TEB 兩個結構體。今天要來看一下 Payload 通常是如何被執行的。我們會繼續使用 Zig 程式語言實作兩種不同的執行方式，那就廢話不多說，讓我們開始今天的訓練吧蜥蜴們！ 對了，今天的範例都可以在這個專案中找到，可以去看完整的程式碼。 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 透過 DLL 執行 我們要介紹的第一種方式，是當 Payload 作為一個 DLL 而存在的時候會執行的方式。 由於先前一直沒有好好介紹動態連結函式庫（Dynamic-Lin ...

走在時代前沿的前言 嗨大家好，我又回來了。昨天我們已經一起實作了一個好用的加密和混淆器，不知道大家對 Zig 這個語言的感受如何，歡迎留言和我分享。 今天的內容會是講一下 Windows 的進程和線程，以及各自對應的一些神奇結構體。 開始囉！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 進程與線程 在 Windows 中，一個進程（Process）是運行在 Windows 電腦中的某個程式（Program）或是應用程式（Application）。進程可以被使用者給開啟，也可以被系統本身所啟動。在完成任務的過程中會去消耗系統資源，如記憶體、硬碟、中央處理器等等。 一個進程會由單個或是多個的線程（Thread）所組成，線程是一坨可以在進程裡獨立執行的指令的集合， ...

走在時代前沿的前言 嗨大家！歡迎大家來到第 11 天的內容，恭喜我們度過了 10 天大關！ 前天和昨天我們介紹了很多關於 Payload 的加密和混淆的手法，那在今天我們就會使用這些加密和混淆的手法，去實作一個幫助 Payload 加密和混淆的 CLI 工具啦！ 那我們廢話不多說，開始囉！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 ZYPE 介紹 你一定很好奇，ZYPE 是什麼呢？沒錯，就是我們今天要做的工具啦！這個東西其實是我之前就寫好了並開源放在 GitHub 上的，歡迎大家點進來這裡按星星。 那我先來介紹一下這個工具的使用方式吧！一開始，我們可以先用 MSFvenom 幫我們產生一個 Shellcode，等等會用來加密或混淆。這邊我們先產生一個用來在 ...

走在時代前沿的前言 嗨大家，我 CX330。 我明天和後天都各還有一個死線，希望今天可以早點寫完，真可怕，果然還是要囤文章比較不會累死。 昨天已經介紹了 XOR、RC4 跟 IP 位址混淆，今天要來介紹 AES 加密、MAC 位址混淆和 UUID 混淆。如果還沒有看過上一篇的可以先去閱讀一下，那就讓我們開始吧！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 AES 加密 我們在這邊會提供一種方式去實作，就是使用 Windows 的 bcrypt.h API。 另外，礙於篇幅，我有使用另外兩種方式實作，會放在這邊。是利用 Zig 標準函式庫和 TinyAES 專案去實作，如果有興趣歡迎去閱讀按星星。 AES 分別根據金鑰長度的不同，分為 AES128、AES19 ...

走在時代前沿的前言 早安午安晚安，我是 CX330。我們昨天看了 PE 文件的格式，把整個 PE 文件的架構都介紹了一遍。今明兩天呢，我們要來看一下前幾天介紹過的 Shellcode 會以什麼樣的形式存在在程式碼裡面，會經過什麼樣的加密或是混淆等。 這個主題會分成上下兩篇，礙於篇幅，會把加密跟混淆的部分散佈在兩篇。由於不是密碼學相關的主題，不會深入加密的算法，主要是會介紹很多種加密和混淆的手法，因此範例程式碼會偏多。那就讓我們開始吧！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 XOR 加密 XOR 是最簡單的加密方式，Payload 的每一個字節都會與一個 Key 進行 XOR 運算。解密也是使用相同的那把 Key。雖然如果知道了 Key 就可以很輕鬆的還 ...

走在時代前沿的前言 欸完蛋了啦現在已經晚上六點了，我一個字都還沒動。 嗨大家好我 CX330，昨天帶大家深入的看了一下窗戶的 API，今天我們就要來詳細聊聊前幾天提到的 PE 文件格式。今天沒什麼時間聊天了，就直接開始吧！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 PE 檔案簡介 PE 格式（Portable Executable）是專屬於 Microsoft Windows 的一個文件格式，它會告訴系統如何載入和運行這個檔案等等。每個可執行檔都共享一個叫做 COFF（Common Object File Format）的通用格式，而 PE 格式就是這種 COFF 格式之一。常見的後綴名稱包括但不限於以下： .exe .dll .scr .sys PE ...