COM(组件对象模型)介绍 Windows COM(Component Object Model)是一种面向对象的软件组件技术,用于实现不同软件模块之间的通信和交互。COM 组件可以被其他程序调用,它...
你不知道的win应急思路!从维权到排查,面试必问!不来看看?
windows里常见维权手法都已经老生常谈了,如果要聊rootkit之流,那又涉及到虚拟化 内核这些晦涩难懂很吃耐心的东西,还有加上代码 PE这些一篇文章很容易就写的过于长篇大论了,那么阅读量就会像下...
伊朗黑客滥用windows超级磁盘功能将电脑变砖
据媒体报道,伊朗“Homeland Justice”组织使用No-Justice破坏性工具袭击了阿尔巴尼亚组织。No-Justice工具攻击原理比较简单,仅使用了微软公开的IOCTL_DISK_DEL...
服务隐藏与排查 | Windows 应急响应
0x00 简介攻击者通过创建服务进行权限维持过程中,常常会通过一些手段隐藏服务,本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式0x01 创建服...
【Web渗透】Windows权限维持
启动目录只要放在该目录下的程序或者快捷方式,会在用户登录时自动运行对当前用户有效C:Users{username}AppDataRoamingMicrosoftWindowsStart MenuPro...
威胁检测与搜寻建模1.了解函数调用堆栈
函数调用引擎盖下的内容远不止于此 这篇文章基于 2021 年 9 月的 Twitter 帖子,我写了该帖子来描述有关函数调用及其隐藏层次结构的相同概念。该线程的灵感来自inversecos的一系列推文...
记一次独特的应急
前言早上打开电脑,不知道打开了什么软件,电脑突然打不开软件了,这里记录一下,也许可以帮助到正在阅读的您。正文点击所有快捷方式和exe文件都运行不了但是通过微软的搜索窗口可以打开网站这里的浏览器肯定也是...
应急响应常用工具推送
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他...
windows权限维持几种方式
一、计划任务 Windows 计划任务是操作系统中的一项功能,允许用户安排在指定时间或事件发生时执行特定任务或脚本。通过使用计划任务,用户可以自动化重复性任务、定期运行维护脚本或执行其他计划的操作...
美国政府宣布对与朝鲜有联系的 APT 组织 Kimsuky 实施制裁
美国财政部外国资产控制办公室 (OFAC) 本周宣布对与朝鲜有关的 APT 组织实施制裁KimsukyKimsuky APT组织 (又名 ARCHIPELAGO、Black Banshee、 Thal...
Remcos分析报告
程序开始会动态获取函数地址获取资源文件,通过RC4算法解密配置,获取 C2 服务器信息,注册表中的子键名称,木马功能的配置 licence内容等信息,互斥体名称 中间以 "丨" 分隔内嵌了样本的版本号...
长期存在的Bandook RAT定位于Windows计算机
来自Fortinet的研究人员观察到了一种名为Bandook的远程访问木马的新变种,该木马已被用于针对Windows用户的网络钓鱼攻击。Bandook自2007年以来一直活跃,一直在不断发展,并曾被不...
27