了解ATT&CK :事件触发执行:更改默认文件关联攻击者可以通过修改文件类型关联来建立持久性,实现在打开特定文件时执行恶意内容的目的。在Windows系统中,文件关联信息存储在注册表中,攻击者...
注入的shellcode的提取和分析
Shellcode 是一小段用作有效负载的可执行代码。进程注入是规避基于进程的防御的方法之一,其中恶意代码在另一个进程的地址空间中执行。当这两者结合在一起时该怎么办?假设用户报告了一个可疑文件,现在需...
结合使用 MiniDumpWriteDump、Donut 和进程注入技术来逃避 Windows Defender 检测
在当今的环境中,Mimikatz(一种凭据转储工具)可以被每个 Windows Defender 防病毒软件和 EDR 检测到。这就是为什么某些威胁行为者选择使用 Minidump 等工具而不是 Mi...
Windows—映像劫持之GlobalFlag劫持
Tips +1实现原理通过上篇的映像劫持之debugger劫持,我们可以知道他的原理如下:当我们双击运行程序时,系统会查询该IFEO注册表,如果发现存在和该程序名称完全相同的子键,就会查询对应子健中包...
Windows命令行查看/设置指定文件的owner
7.15 命令行查看/设置指定文件的ownerhttps://scz.617.cn/windows/202309251425.txtQ:Win10命令行如何查看、设置指定文件的owner?GUI界面我...
写外挂时偶然想到的免杀思路
源码:H4ckBu7eer-EX/pymem_shellcodeloader: pymem加载shellcode到其他进程 (github.com)各位大佬端午好!最近在研究游戏逆向的时候,发现一个好...
从应用层到MCU看Windows处理键盘输入
本文为看雪论坛优秀文章 看雪论坛作者ID:hyjxiaobia 几年前,想写一个关于ACPI协议的系列文章,并归档在<ACPI.sys,从Windows到Bios的桥梁>,但由于各种原因(...
从劫持的角度看权限维持
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...