AppInit DLLs 注册表键值 AppInit_DLLs 位于 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\W...
ATT&CK - 分布式组件对象模型
分布式组件对象模型 Windows 分布式组件对象模型 (DCOM) 是一种透明的中间件,它使用远程过程调用 (RPC) 技术将组件对象模型 (COM) 的功能扩展到本地计算机之外。 COM 是 Wi...
ATT&CK -
AppCert DLLs 注册表键 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager 中的 AppCertDLLs...
ATT&CK - 安全支持提供者
安全支持提供者 Windows 安全支持提供者 (SSP) DLL 在系统启动时加载到本地安全中心 (LSA) 进程中。一旦加载到 LSA 中,SSP DLL 就有权访问存储在 Windows 中加密...
ATT&CK -
Screensaver 屏幕保护程序 (Screensaver) 是在所配置的用户不活动时间后执行的程序,由扩展名为。scr 的可移植可执行 (PE) 文件组成。 Windows 屏幕保护程序 scr...
ATT&CK -
SIP和信任提供者劫持 在用户模式下,Windows Authenticode 数字签名用于验证文件的来源和完整性,这些变量可用于建立对签名代码的信任(例如:可以将具有有效Microsoft签名的驱动...
ATT&CK -
注册表 Run 键/Startup 文件夹 在注册表"run 键"或"Startup "文件夹中的中添加条目,在用户登录时将执行该条目引用的程序。这些程序将在用户的上下文中执行,并具有帐户的相关权限级...
ATT&CK - 修改注册表
修改注册表 攻击者可以与 Windows 注册表交互以隐藏注册表项中的配置信息,删除信息作为清理的一部分,或者作为其他技术的一部分,帮助实现持久化和执行。 对注册中心特定区域的访问取决于帐户权限,有些...
ATT&CK - 修改现有服务
修改现有服务 Windows 服务配置信息(包括服务的可执行文件或恢复程序/命令的文件路径)存储在注册表中。可以使用 sc.exe 和 Reg 等工具修改服务配置。 攻击者可以使用系统或自定义工具与 ...
ATT&CK - 服务注册表权限缺陷
服务注册表权限缺陷 Windows 将本地服务配置信息存储在 HKLM 下的注册表中。可以通过诸如服务控制器、sc.exe、PowerShell 或 Reg 等工具操作存储在服务注册表项下的信息来修改...
ATT&CK - 禁用安全工具
禁用安全工具 攻击者禁用安全工具,以避免他们的工具和活动被检测到。可以采取以下形式:终止安全软件或事件日志记录流程、删除注册表项以便工具不会在运行时启动,或者使用其他方法干扰安全扫描或事件报告。 缓解...
ATT&CK - 新建服务
新建服务 当操作系统启动时,它们会启动称为服务的程序或软件,这些程序和软件执行后台系统功能。服务的配置信息,包括服务的可执行文件路径,都存储在 Windows 注册表中。 攻击者可以安装新的服务,通过...
30