注册表项 | CN-SEC 中文网

安全文章

通过编辑注册表项值将 DLL 加载到 lsass.exe 中

在启动时将 DLL 加载到 LSASS 中，提供持久性。如何？我们发现 Lsass.exe 在启动时会读取两个注册表项，以便从System32目录中加载 DLL。这两个注册表项分别是：延伸HKEY_L...

05月01日10 views评论

阅读全文

Win32 API · 注册表操作（修改键值）

由于硬盘寄了，重新安装的 Typora 是 1.10.8 的版本。在网上看到的 crack 思路：https://www.52pojie.cn/thread-2009398-1-1.html，于是想实...

04月13日程序逆向10 views评论

阅读全文

安全文章

Andariel Attack Group使用的RIF劫持技术

AhnLab 安全情报中心（ASEC）发现 Andariel 攻击组织在入侵过程中使用恶意文件执行 RID 劫持攻击。 RID 劫持是一种攻击技术，涉及修改具有受限权限的帐户（例如普通用户或访客帐户）...

01月26日18 views评论

阅读全文

安全文章

通过代码研究空字节和无文件方式注册表隐藏技术

这篇文章收录于《取证实录》第四季中。注册表隐藏技术通常用于恶意软件、后门程序或攻击者企图在系统中保持隐蔽，绕过安全检查和防御系统。常见的隐藏技术有：使用非法字符隐藏注册表项（如PlugX、TDL4/A...

01月12日24 views评论

阅读全文

安全工具

【资源分享】最新EDR绕过方法

允许在 Windows 操作系统完全初始化之前运行本机应用程序（具有 NtProcessStartup 入口点的可执行文件和仅依赖于 ntdll.dll）。这甚至在 Windows 服务启动之前就发生...

12月09日24 views评论

阅读全文

安全新闻

2024新的持久性技术：使用 Explorer.exe 进行 TypeLib 劫持

本文阅读大约需要3分钟；在叙述这个情报之前，我先简介一下我理解的“持久性”。持久性技术是红队较为高阶的技能，它追求的是“隐”和“藏”的完美结合，将恶意活动隐藏于无形之中。“隐”：持久性技术需要隐藏恶意...

11月01日31 views评论

阅读全文

安全文章

新的 COM 持久性技术-劫持 TypeLib

攻击者使用各种方法在计算机上获取持久性：AutoRun 文件夹、计划任务、注册表项。但是，这些方法为防御者所熟知，这使得它们很容易被发现。还有更奇特的持久性方法：Compromise Client S...

10月29日21 views评论

阅读全文

安全新闻

针对新型SWIFT勒索病毒的详细分析报告

安全分析与研究专注于全球恶意软件的分析与研究前言概述原文首发出处：https://xz.aliyun.com/t/13777先知社区作者：熊猫正正这几年勒索病毒已经在全球范围内大规模爆发，全球基本...

10月16日20 views评论

阅读全文

新的 Specula 工具利用 Outlook 在 Windows 中执行远程代码

Microsoft Outlook 可变成 C2 信标来远程执行代码，网络安全公司 TrustedSec 本周发布的全新红队后利用框架“Specula”就证明了这一点。该 C2 框架通过利用 CVE...

08月06日安全新闻21 views评论

阅读全文

安全新闻

某黑产组织捆绑VPN和TG等安装程序进行攻击活动

前言概述原文首发出处：https://xz.aliyun.com/t/15082先知社区作者：熊猫正正近日笔者在某社交论坛上发现一例黑产组织捆绑LetsVPN、TG等安装程序进行攻击活动的最新攻击...

07月30日19 views评论

阅读全文

安全工具

好玩的吓毒软件：网络稻草人

🌟简介稻草人是一个小程序，它会模仿各种杀毒软件特征它是如何工作的？当黑客像在受害者身上安装恶意软件时，他们首先会检查当前环境以确保其恶意软件能安全运行。由于他们不想被发现，所以会回避有安全分析或...

07月08日20 views评论

阅读全文

安全工具

杀软稻草人：伪装成多款杀软的小工具

点击上方蓝字关注我们吧网络稻草人是什么？稻草人是一款在计算机后台运行的软件，它会创建恶意软件通常不喜欢与之共存的工具和程序的虚假指示。这样恶意软件就会决定不感染你。它是如何工作的？当黑客在受感...

06月23日17 views评论

阅读全文

通过编辑注册表项值将 DLL 加载到 lsass.exe 中

Win32 API · 注册表操作（修改键值）

Andariel Attack Group使用的RIF劫持技术

通过代码研究空字节和无文件方式注册表隐藏技术

【资源分享】最新EDR绕过方法

2024新的持久性技术：使用 Explorer.exe 进行 TypeLib 劫持

新的 COM 持久性技术-劫持 TypeLib

针对新型SWIFT勒索病毒的详细分析报告

新的 Specula 工具利用 Outlook 在 Windows 中执行远程代码

某黑产组织捆绑VPN和TG等安装程序进行攻击活动

好玩的吓毒软件：网络稻草人

杀软稻草人：伪装成多款杀软的小工具

在线咨询

微信