0x0 前言 这是WMI的第三篇文章,本文主要调式分析WMI消费者的工作原理,进而提出WMI的检测思路。本文首先介绍了本次分析所需要了解的WMI基本组件和底层协议(RPC),然后通过调式网上的RPC客...
03月17日73 views评论rpc
wmi
WMI调试与检测
03月17日73 views评论rpc
wmi
03月17日73 views评论rpc
wmi
安全攻防 | 初识(fileless malware)无文件非恶意软件
点击上方“蓝字”关注公众号获取最新信息!本文作者:Twe1ve(贝塔安全实验室-核心成员)0x00、什么是无文件非恶意软件区别于传统的基于文件的攻击,无文件非恶意软件攻击在内存中运行,不需要利用可执行...
02月23日安全文章28 views评论windows
恶意软件
横向移动-WMI、SMB
WMI什么是WMI?WMI是通过135端口进行利用,支持用户名明文或hash的方式进行认证,在使用WMIC执行命令过程中,操作系统默认不会将WMIC的操作记录在日志中,因此在利用过程中不会产生日志。所...
02月10日61 views评论smb
横向移动
内网渗透扫描工具 SharpHostInfo
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
12月26日33 views评论sharp
wmi
内网常见横向姿势(1)
谈谈网络安全中横向移动策略
序言现在的许多网络安全攻击中,引人注目的攻击都涉及横向移动,成功的横向移动攻击可以使攻击者闯入用户现有系统,并访问系统资源。防止当今最危险的横向移动战术变得越来越重要,攻击者使用各种策略来...
11月26日安全文章46 views评论攻击者
网络安全
一次利用DLL侧载挖矿事件应急响应
一旦对他人的苦难视而不见,苦难就会在我们中间蔓延。——《失明症漫记》01简介前几天威胁分析同学发现某客户环境中存在挖矿事件告警,本来以为就是个简单的挖矿事件,用杀毒软件扫描下就能解决,但是客户先用某数...
11月09日75 views评论恶意程序
注册表
反虚拟机、反沙箱技术整理汇总
反虚拟机、反沙箱技术整理汇总延迟执行因为沙箱对样本运行时间有限制,使用已知的windows Api(例如NtDelayExecution,CreateWaitTableTImer,SetTimer等)...
11月09日152 views评论wmi
恶意软件
攻击推理,一文了解离地攻击的攻与防
一、什么是“离地攻击”关于“离地攻击”至今没有一个权威的定义。但是被广泛接受的“离地攻击”通常是指利用系统中已存在或比较易于安装的二进制文件来执行后渗透活动的攻击策略。说白了就是攻击过程不“落地”。当...
09月23日25 views评论powershell
恶意软件
开源项目 | SharpHostInfo - 快速探测内网主机信息工具
✨ 项目简介🦄 SharpHostInfo是一款快速探测内网主机信息工具(深信服深蓝实验室天威战队强力驱动)项目地址:https://github.com/shmilylty/SharpHostInf...
09月10日81 views评论info
wmi
内网各端口hash传递技巧
本文来自“白帽子社区知识星球”更多红队题材或其他技术内容可见知识星球“红队专栏”01前⾔随着攻防演练的频繁和⼈们安全意识的提升,企业内部Windows主机的⼝令也设置的较为复杂,经 常拿到window...
08月29日87 views评论windows
红队
远控免杀专题(53)-白名单WMIC.exe执行payload
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!声明:文中所涉及的技术、思路和工...
07月18日52 views评论payload
windows
8