二进制文件 - 第 12 | CN-SEC 中文网

ATT&CK - 伪装

伪装伪装是指攻击者为了规避防御和观察而篡改或滥用可执行文件（合法或恶意）的名称或位置。目前已经发现该技术的几种不同变体。一种变体是将可执行文件放在一般可信目录中，或将其命名为合法可信程序的名称。另...

04月15日ATTACK8 views评论

阅读全文

ATT&CK -

LC_MAIN劫持从OS X 10.8开始，mach-O二进制文件引入了一个名为LC_MAIN的新头文件，该头文件指向二进制文件的执行入口。以前，有两个标头可实现相同的效果：LC_THREAD和LC...

04月15日ATTACK15 views评论

阅读全文

ATT&CK - 文件名后的空格

文件名后的空格攻击者可以通过更改文件的扩展名来隐藏程序的真正文件类型。对于某些文件类型（特别地，对于拓展名。app 并不适用），在文件名后面追加一个空格将改变操作系统处理该文件的方式。例如，如果有一...

04月15日ATTACK8 views评论

阅读全文

ATT&CK -

添加LC_LOAD_DYLIB Mach-O二进制文件具有一系列标头，这些标头用于在加载二进制文件时执行某些操作。Mach-O二进制文件中的LC_LOAD_DYLIB标头告诉macOS和OS X在执行...

04月15日ATTACK8 views评论

阅读全文

ATT&CK - 签名的二进制代理执行

签名的二进制代理执行具有可信数字证书签名的二进制文件可以在受数字签名验证保护的 Windows 系统上执行。 Windows 安装中默认的几个 Microsoft 签名二进制文件可以用于代理其他文件...

04月15日ATTACK25 views评论

阅读全文

ATT&CK - 服务执行

服务执行攻击者可以通过与 Windows 服务交互的方法（例如服务控制管理器）执行二进制文件，命令或脚本。这可以通过创建新服务或修改现有服务来完成。此技术是在服务持久化或权限提升期间结合创建新服务和...

04月15日ATTACK11 views评论

阅读全文

ATT&CK -

Regsvr32 Regsvr32.exe 是一个命令行程序，用于在 Windows 系统上注册和取消注册对象链接和嵌入控件，包括动态链接库 (DLLs)。 Regsvr32.exe 可用于执行任意二...

04月15日ATTACK12 views评论

阅读全文

ATT&CK -

Regsvcs/Regasm Regsvcs 和 Regasm 是 Windows 命令行实用程序，用于注册。NET 组件对象模型 (COM) 程序集。两者都是由 Microsoft 进行数字签名的...

04月15日ATTACK14 views评论

阅读全文

ATT&CK - 文件系统权限缺陷

文件系统权限缺陷进程可以自动执行特定二进制文件作为其功能的一部分，或执行其他操作。如果对包含目标二进制文件的文件系统目录的权限或对二进制文件本身的权限设置不正确，则目标二进制文件可能会被另一个使用用...

04月15日ATTACK7 views评论

阅读全文

ATT&CK -

InstallUtil InstallUtil 是一个命令行实用程序，它允许通过执行。net 二进制文件中指定的特定安装程序组件来安装和卸载资源。 InstallUtil 位于 Windows 系统的...

04月15日ATTACK9 views评论

阅读全文

ATT&CK - 代码签名

代码签名代码签名为来自开发人员的二进制文件提供了一定程度的真实性，并保证该文件没有被篡改。然而，已知攻击者会使用代码签名证书来将恶意软件和工具伪装成合法的二进制文件。操作中使用的证书可能是由攻...

04月15日ATTACK11 views评论

阅读全文

ATT&CK -

利用 API 执行攻击者工具可以直接使用 Windows 应用程序编程接口 (API) 来执行二进制文件。诸如 Windows API CreateProcess 这样的函数将允许程序和脚本使用适当...

04月15日ATTACK10 views评论

阅读全文

ATT&CK - 伪装

ATT&CK -

ATT&CK - 文件名后的空格

ATT&CK -

ATT&CK - 签名的二进制代理执行

ATT&CK - 服务执行

ATT&CK -

ATT&CK -

ATT&CK - 文件系统权限缺陷

ATT&CK -

ATT&CK - 代码签名

ATT&CK -

在线咨询

微信