了解ATT&CK :事件触发执行:更改默认文件关联攻击者可以通过修改文件类型关联来建立持久性,实现在打开特定文件时执行恶意内容的目的。在Windows系统中,文件关联信息存储在注册表中,攻击者...
我的应急响应回顾总结
扫码领资料获网安教程# 我的应急响应回顾总结 ## 应急响应的定义 利用百度的概括来说就是针对各种意外、突发事件的准备以及事件发生后所采取的措施。其根本意义在于将该事件造成的损失降到最低。## 心得 ...
简记一次HVV免杀题
想第一时间看到我们的大图推送吗?赶紧把我们设为星标吧!这样您就不会错过任何精彩内容啦!感谢您的支持!🌟免责声明 文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的...
ATT&CK -
AppInit DLLs 注册表键值 AppInit_DLLs 位于 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\W...
ATT&CK - 分布式组件对象模型
分布式组件对象模型 Windows 分布式组件对象模型 (DCOM) 是一种透明的中间件,它使用远程过程调用 (RPC) 技术将组件对象模型 (COM) 的功能扩展到本地计算机之外。 COM 是 Wi...
ATT&CK -
AppCert DLLs 注册表键 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager 中的 AppCertDLLs...
ATT&CK - 安全支持提供者
安全支持提供者 Windows 安全支持提供者 (SSP) DLL 在系统启动时加载到本地安全中心 (LSA) 进程中。一旦加载到 LSA 中,SSP DLL 就有权访问存储在 Windows 中加密...
ATT&CK -
Screensaver 屏幕保护程序 (Screensaver) 是在所配置的用户不活动时间后执行的程序,由扩展名为。scr 的可移植可执行 (PE) 文件组成。 Windows 屏幕保护程序 scr...
ATT&CK -
SIP和信任提供者劫持 在用户模式下,Windows Authenticode 数字签名用于验证文件的来源和完整性,这些变量可用于建立对签名代码的信任(例如:可以将具有有效Microsoft签名的驱动...
ATT&CK -
注册表 Run 键/Startup 文件夹 在注册表"run 键"或"Startup "文件夹中的中添加条目,在用户登录时将执行该条目引用的程序。这些程序将在用户的上下文中执行,并具有帐户的相关权限级...
ATT&CK - 修改注册表
修改注册表 攻击者可以与 Windows 注册表交互以隐藏注册表项中的配置信息,删除信息作为清理的一部分,或者作为其他技术的一部分,帮助实现持久化和执行。 对注册中心特定区域的访问取决于帐户权限,有些...
ATT&CK - 修改现有服务
修改现有服务 Windows 服务配置信息(包括服务的可执行文件或恢复程序/命令的文件路径)存储在注册表中。可以使用 sc.exe 和 Reg 等工具修改服务配置。 攻击者可以使用系统或自定义工具与 ...