使用Speakeasy仿真框架模拟内核模式Rootkit
除了用户模式仿真之外,Speakeasy还支持内核模式Windows二进制文件的仿真。当恶意软件作者使用内核模式恶意软件时,通常会采用设备驱动程序的形式,其最终目标是完全感染受感染的系统。该恶意软件通常不与硬件交互,而是利用内核模式完全破坏系统并保持隐藏状态。
使用RMS和TeamViewer对工业企业的APT攻击
从2018年到至少2020年秋季初,攻击者发送了包含恶意软件的网络钓鱼电子邮件,攻击利用了社工技术和合法文件,例如备忘录和设备使用说明书或其他工业信息的文件,这些文件已从受攻击的公司或其业务合作伙伴那里被窃取。
Solarwinds供应链攻击武器SUNBURST和TEARDROP分析
2020年12月,FireEye发现一起针对许多组织(主要是针对美国科技公司)的大规模网络攻击已经持续了几个月。
逆向XignCode3驱动程序:分析注册通信和回调函数(part4)
在分析DriverEntry时,我确定了两个函数,它们负责不同类型的回调注册(**fn_InitRegistrationNotifyAndCallbackRoutines**和**fn_RegisterCreateProcessNotifyRoutine**),但我没有更深入地了解他们的作用。
逆向XignCode3驱动程序:分析Dispatcher函数(part3)
Dispatcher函数的主要功能是处理I / O请求数据包(IRP),处理来自主要函数代码IRP_MJ_WRITE的任何请求。