文章预览
第二期主题: 《利器》上篇 主讲人: Moriarty@RedCore 内容简介: 上一期的主题是混淆与加密,主要涉及的是从静态层面对抗AV/xDR的方法。 原本想着第二期来讲一下用户层上的动态对抗。虽然一直很忙,但我也尽可能地忙里偷闲,利用碎片时间去思考这一期的内容。 用户层对抗的核心手段,无非是“direct/indirect syscall”、“callstack spoofing”、“Process/Thread Creation Monitoring”。 syscall相关的内容,无论是git上的开源项目,还是技术文章都已经数不胜数了,无需我重复造轮了。 而“callstack spoofing”会在先前预告的插播课程中由我徒弟EdgeBp讲解,由我讲解的内容便所剩不多了。 其实,“Thread Creation Monitoring”我已在OSAC内部交流课中讲到过,那时我给起的名字叫“Thread Creation Scanning”,简称TCS。 即便我再整点能拿出来讲解的技巧,感觉内容也不够一期的。
………………………………