注册表 - 第 13 | CN-SEC 中文网

程序逆向

免杀-无迹可寻：掌握WMI技法，打破进程链的枷锁

什么是WMI？WMI 是 Microsoft 对 WBEM 和 CIM 的实现，由 DMTF 开发和发布。WMI 提供了在企业环境中收集和发送管理信息的方法。WMI 是一种基于Windows COM ...

02月03日211 views评论

阅读全文

安全文章

利用VmWare搞事情，白加黑干360核晶

今天在不知道什么情况的驱使之下，打开了虚拟机，看了一眼【任务管理器】，收获一个意外惊喜，利用【vmtoolsd.exe】白加黑。添加注册表，实现开机自启动！也可以利用该方法使用傀儡注入上线Cobalt...

02月01日193 views评论

阅读全文

安全文章

67条tips！渗透测试大佬的技巧总结

Tips 1. 手动端口探测nmap的-sV可以探测出服务版本，但有些情况下必须手动探测去验证使用Wireshark获取响应包未免大材小用，可通过nc简单判断eg.对于8001端口，nc连接上去，随便...

02月01日21 views评论

阅读全文

程序逆向

用户模式 Windows Rootkit

今天我将向您展示一款Windows Userland Rootkit。介绍如果您想学习有关 Windows 恶意软件开发的基础知识，您可以购买我的课程。相关视频教程恶意软件开发（更新到了155节）什么...

01月28日22 views评论

阅读全文

安全文章

windows持久化后门之RID劫持

RID介绍RID是指相对ID（RID），是SA（安全标识符）所指派的一个惟一的、顺序的编号，代表一个安全主体（比如一个用户、计算机或组）。Windows 操作系统使用 RID（相对标识符）来区分组和用...

01月26日76 views评论

阅读全文

安全工具

BaselineAssistant一款检测和加固Windows安全基线的辅助工具-安服工具

0x01 工具介绍 WindowsBaselineAssistant(WBA)是一个用于检测和加固Windows安全基线的辅助工具,借助此工具你可以免去繁琐的手工检测和加固操作,实现一键...

01月25日175 views评论

阅读全文

安全文章

windows持久化后门之COM （组件对象模型）劫持

COM（组件对象模型）介绍 Windows COM（Component Object Model）是一种面向对象的软件组件技术，用于实现不同软件模块之间的通信和交互。COM 组件可以被其他程序调用，它...

01月23日120 views评论

阅读全文

应急响应

你不知道的win应急思路！从维权到排查，面试必问！不来看看?

windows里常见维权手法都已经老生常谈了，如果要聊rootkit之流，那又涉及到虚拟化内核这些晦涩难懂很吃耐心的东西，还有加上代码 PE这些一篇文章很容易就写的过于长篇大论了，那么阅读量就会像下...

01月16日40 views评论

阅读全文

安全新闻

伊朗黑客滥用windows超级磁盘功能将电脑变砖

据媒体报道，伊朗“Homeland Justice”组织使用No-Justice破坏性工具袭击了阿尔巴尼亚组织。No-Justice工具攻击原理比较简单，仅使用了微软公开的IOCTL_DISK_DEL...

01月15日67 views评论

阅读全文

应急响应

服务隐藏与排查 | Windows 应急响应

0x00 简介攻击者通过创建服务进行权限维持过程中，常常会通过一些手段隐藏服务，本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式0x01 创建服...

01月15日66 views评论

阅读全文

安全文章

【Web渗透】Windows权限维持

启动目录只要放在该目录下的程序或者快捷方式，会在用户登录时自动运行对当前用户有效C:Users{username}AppDataRoamingMicrosoftWindowsStart MenuPro...

01月15日27 views评论

阅读全文

安全闲碎

威胁检测与搜寻建模1.了解函数调用堆栈

函数调用引擎盖下的内容远不止于此这篇文章基于 2021 年 9 月的 Twitter 帖子，我写了该帖子来描述有关函数调用及其隐藏层次结构的相同概念。该线程的灵感来自inversecos的一系列推文...

01月14日189 views评论

阅读全文