WOW64

cover

HVV 样本：一个只能在 x64 中运行的 x32 Cobalt Strike

该样本外层是一个 go 语言 loader 并且具有 UPX 外壳，中层是一个 downloader，最终的 payload 是 CobaltStrike 的核心 beacon.dll 模块。与普遍的 beacon.dll 运行方式不同的是该 beacon.dll 并不直接与 C2 直接进行通信，而是通过命名管道经由 downloader 与 C2 进行通信，并且由于其采用的反调试、反 HOOK 技术使其只能在 wow64 环境下运行。

360 混天零实验室
2022-08-17 14:30:11

185140次阅读

cover

WOW64!Hooks：深入考察WOW64子系统运行机制及其Hooking技术（下）

在上一篇文章中，我们为读者详细介绍了WOW64子系统的内部运行机制，在本文中，我们将继续为读者介绍WOW64子系统的Hooking技术。

shan66
2020-11-13 14:30:57

395854次阅读

cover

WOW64!Hooks：深入考察WOW64子系统运行机制及其Hooking技术（上）

本文中，我们将为读者详细介绍WOW64子系统运行机制及其Hooking技术。

shan66
2020-11-12 10:00:36

267163次阅读