“ 本文是白驱动Kill AV/EDR 的第一部分,将讨论驱动开发原理,杀软/EDR 监控拦截原理,并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室 免责声明 ——...
12月19日21 views评论edr
进程
白驱动 Kill AV/EDR(上)
12月19日21 views评论edr
进程
12月19日21 views评论edr
进程
几个窃取RDP凭据工具的使用测试
应用场景 当我们拿到某台机器时就可以用以下几个工具来窃取管理员使用mstsc.exe远程连接其他机器时所输入的RDP用户密码等信息,其原理是将特定的恶意dll注入到mstsc.exe实现窃取RDP凭据...
12月17日35 views评论shellcode
进程
进程与线程-模拟线程切换
调度链表在这之前,要先补充几个知识。在前面,我们通过内核驱动对进程进行断链隐藏,发现并不会影响进程的执行,那么这是不是说明CPU对进程的控制并不是通过这个链表呢?答案是肯定的。在操作系统中,共有33个...
12月16日程序逆向15 views评论线程
进程
Meterpreter 内存加载执行
具体原理和进程注入类似, 先创建一个正常的进程, 然后把这个进程里的内存空间覆盖成我们想要执行的程序. Meterpreter 方式. execute -H -m -d notepad.exe -f ...
12月15日安全博客7 views评论程序
进程
strace键盘记录后门分析
一、起因(一)排查中发现的异常strace进程在某次重要活动中,某应用系统因存在漏洞而失陷。在上机排查过程中,发现系统中运行着strace进程,正在跟踪ssh服务进程的系统调用://查看命令历史his...
12月09日65 views评论命令
进程
Ubuntu18.04磁盘取证-中难度篇
涉及的镜像文件:sdb.vhduac.tarubuntu.20211208.mem需要利用的工具:volatility3volatility2.6.1FTK/Autopsy Strings题干:容器是...
11月28日20 views评论权限
脚本
记一次真实的应急响应案例(1)
收到阿里云通知,服务器正在对外发起攻击,需要排查具体情况。 恶意程序排查 一、网络排查 使用netstat -tunlap命令,发现一万多个ID是 28263、名称是bdgopoga的可疑进程,疑似正...
11月27日59 views评论id
进程
钓鱼文件应急溯源:方法篇
内容概览 背景 恶意软件分析技术的市场 如今,恶意软件分析已是信息安全领域的一个整体产业: 发布保护产品的反病毒引擎实验室,高度专业化的专家小组,甚至恶意软件编写者本身也参与其中,他们争夺一个潜在的客...
11月08日50 views钓鱼文件应急溯源:方法篇已关闭评论恶意软件
端口
终端安全管控:如何改善员工不规范的程序使用习惯?
为进一步有障数据安全,企事业单位应该对内部终端管理层面加以有效的管理与完善,限定终端用户在电脑上的合法行为,保证用户只能在合法范围内使用电脑,避免用户对网络资源的滥用以及由此造成的高维护成本成为。 天...
10月31日安全闲碎4 views评论数据安全
程序
容器逃逸的7种方式 0x2
书接上回,点击此处查看本系列的第一部分。《容器逃逸的7种方式 0x1》03 进程注入逃逸说明进程注入允许一个进程写入另一进程的内存空间并执行 shellcode。要将 shellcode 注...
10月18日70 views评论容器
进程
强制delete运行中文件
0x01 前言介绍一个场景,在制作c2马写loader的时候,采用CreateThread运行shellcode,这个时候线程是一直占用的没有被释放,这个时候正常情况下是无法删除文件的,但又想避免马子...
10月13日34 views评论bof
进程
CTF竞赛 -- SROP详解
SROP详解这篇文章有一些点一开始不怎么懂,在和blonet师傅的交流下学到了好多,感谢感谢Orz前言在打NepCTF2023的时候,pwn的第一题就是srop,但是我发现我好像没学hhh,当时比赛的...
08月20日30 views评论ctf
进程
31