辅助功能 Windows 包含可在用户登录前使用组合键启动的辅助功能(例如,当用户在 Windows 登录屏幕上时)。攻击者可以修改这些程序的启动方式,以获取命令提示符或后门而无需登录系统。 两个常用...
ATT&CK - 绕过虚拟化/沙盒
绕过虚拟化/沙盒 攻击者可能会检查是否存在虚拟机环境(VME)或沙箱,以避免潜在地检测到工具和活动。如果对手检测到VME,他们可能会更改其恶意软件以隐藏植入物的核心功能或与受害者分离。他们还可能在丢弃...
ATT&CK - 端口监视器
端口监视器 可以通过 API 调用设置端口监视器, 以设置要在启动时加载的 DLL。 此 DLL 可以位于 C:\Windows\System32,并且在启动时被打印机,spoolsv.exe 被加载...
Win10 KB5034441升级失败的另类解决方案
对于无洁癖用户,KB5034441升级失败的解决方案就多了,大不了用C盘呗。不考虑各种排列组合,只考虑常见默认情形,"reagentc /info"表明已有「恢复分区」,但KB5034441升级失败,...
Smbexec绕过Windows Defender
每日一句经典: 人生就像一杯茶,不会苦一辈子,但总会苦一阵子。动动您的小手,点点关注您的关注就是我更新的动力噢。这里字数可能不太够噢,后面可能会凑字数不要介意啦。首先使用原生的Smbexec.py执行...
通过 DLL 劫持进行横向移动
1.找到要劫持的DLL启动一些 Windows VM 并使用 ProcMon 检查它以查找任何可能被劫持的 DLL。通常,任何给定的 Windows 主机上都有很多机会。要查找一些目标 DLL,请启动...
在Windows中劫持DLL
文章前言DLL劫持是一种用于执行恶意有效负载的流行技术,这篇文章列出了将近300个可执行文件,它们容易受到Windows 10(1909)上相对路径DLL劫持的攻击,并展示了如何使用几行VBScrip...