Winlogon介绍Winlogon 是一个 Windows 组件,它处理各种活动,例如登录、注销、身份验证期间加载用户配置文件、关闭、锁定屏幕等。这种行为由注册表管理,注册表定义 Windows 登...
木马服务启动技术之svchost巧妙利用
更多全球网络安全资讯尽在邑安全1. 什么是svchostsvchost.exe是一个属于微软Windows操作系统的系统程序,这个程序对系统的正常运行非常重要。windows系统进程分为独立进程和共享...
UKFC2024 L3HCTF WP
ReBabycom想起安洵那个crc了,动调恢复函数,不过这个就恢复两层,加密就一个xtea【密钥断在加密动调就有】和调win32 api的加密加密入口点:win32 API解密仿写【看了下微软文档然...
查询 Windows 远程桌面端口
内网防火墙禁用了默认 Windows 远程桌面的 3389 端口,这强使所有 Windows 服务器都修改了默认端口。虽然安全性上得到了加强,但也为管理增加了麻烦。因为服务器的端口修改都是分头进行的,...
windows持久化后门之AMSI反恶意软件扫描接口
AMSI介绍Windows 开发了反恶意软件扫描接口(AMSI)标准,允许开发人员在其应用程序中集成恶意软件防御。其主要作用是在应用程序启动时检测可执行文件,并扫描启动后可能会打开的后续资源文件,从而...
你不知道的win应急思路!从维权到排查,面试必问!不来看看?
windows里常见维权手法都已经老生常谈了,如果要聊rootkit之流,那又涉及到虚拟化 内核这些晦涩难懂很吃耐心的东西,还有加上代码 PE这些一篇文章很容易就写的过于长篇大论了,那么阅读量就会像下...
Win10开管理员级资源管理器
创建: 2024-01-11 17:37https://scz.617.cn/windows/202401111737.txt有时出于研究方便,高级用户可能想开管理员级资源管理器。但不知从哪个版本Wi...
windows权限维持几种方式
一、计划任务 Windows 计划任务是操作系统中的一项功能,允许用户安排在指定时间或事件发生时执行特定任务或脚本。通过使用计划任务,用户可以自动化重复性任务、定期运行维护脚本或执行其他计划的操作...
计划任务执行由谁决定 | Windows 应急响应
0x00 简介 由于 Windows 不开源,而 Windows 的某一项服务可能受多个配置项影响,所以很多研究员通过逆向的方式,分析服务调用过程,推测执行流程,例如 https://mp.weixi...
Shellcode写入到注册表上线
其实本质就是将shellcode写入到注册表中,然后读取注册表中的shellcode,然后创建线程去执行shellcode。如下图:写入注册表shellcode这里将shellcode写入到注册表中,...
MSI安装策略提权
MSI安装策略提权MSI安装策略提权是用户在配置MSI安装策略时,启用了”永远以高特权进行安装“(默认情况下为禁用状态),导致任何用户都可以以system权限安装MSI,这样就可以在目标机安装一个预先...
Windows 域内信息收集
在拿到一台 windows 机器后对其本机的信息收集. 很多一部分都是依赖于系统自带的命令以及 powershell. 用户 Hash 当前域 域控 域内计算机 spn IP地址 arp 缓存 dns...