前言纯新手向文章,故较为啰嗦。PDF版:https://share.weiyun.com/a9Lraigo安装 Docker环境:Ubuntu,官方安装脚本自动安装curl -fsSL https:/...
疑似与高校关联的远控程序分析
事件概述 本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本,该样本基于.Net平台进行编写,使用多重loader以及多种检测手法规避安全检测。 详细分析 该程序的核心代...
干货 | Docker容器逃逸
原文首发在:奇安信攻防社区 https://forum.butian.net/share/2638 作者:凝 前言: 我认为docker容器逃逸也算是提权的一种手法,要更好的理解容器逃逸的手法,应该知...
Windows 权限提升
Windows 权限提升 目录 ○ 前言 ○ 基于注册表劫持BypassUAC提权 ◇ BypassUac介绍 ◇ 示例 ○ 利用token复制提权 ◇ Token简介 ◇ metasploit中的i...
如何修复Modern Setup Host高CPU占用率?
本文由数据安全与取证编译,由Roe校对,转载请注明。 摘要:Modern Setup Host进程或SetupHost.exeWindows操作系统中的一个程序,负责自动下载和安装Windows更新。...
Windows 权限提升过程
Windows 权限提升 目录 ○ 前言 ○ 基于注册表劫持BypassUAC提权 ◇ BypassUac介绍 ◇ 示例 ○ 利用token复制提权 ◇ Token简介 ◇ metasploit中的i...
绕过Credential Guard 读取明文凭据
Tips +1 前言 Windows 10 之前,Lsass 将操作系统所使用的密码存储在其进程内存中 当我们获取到机器权限后,经常使用Mimikatz在机器上获取各种凭证,包括明文密码,NTLM哈希...
一款应急响应检测工具
功能系进程列表系统服务系统日志网络连接计划任务共享资源近三天内修改的文件显示进程和服务信息显示进程和所有者yara脚本(支持检查shell,勒索病毒,挖矿,等)工具下载及项目地址:https://gi...
白驱动 Kill AV/EDR(上)
“ 本文是白驱动Kill AV/EDR 的第一部分,将讨论驱动开发原理,杀软/EDR 监控拦截原理,并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室 免责声明 ——...
几个窃取RDP凭据工具的使用测试
应用场景 当我们拿到某台机器时就可以用以下几个工具来窃取管理员使用mstsc.exe远程连接其他机器时所输入的RDP用户密码等信息,其原理是将特定的恶意dll注入到mstsc.exe实现窃取RDP凭据...
进程与线程-模拟线程切换
调度链表在这之前,要先补充几个知识。在前面,我们通过内核驱动对进程进行断链隐藏,发现并不会影响进程的执行,那么这是不是说明CPU对进程的控制并不是通过这个链表呢?答案是肯定的。在操作系统中,共有33个...
Meterpreter 内存加载执行
具体原理和进程注入类似, 先创建一个正常的进程, 然后把这个进程里的内存空间覆盖成我们想要执行的程序. Meterpreter 方式. execute -H -m -d notepad.exe -f ...
31