应急处理流程图1.1 现场访谈1.1.1 了解勒索病毒事件表现1. 文件被加密2. 设备无法正常启动3. 定时删除文件4. 勒索信息展示5. 桌面有新的文本文件并记录加密信息及解密联系方式。1.1.2...
【内网渗透基础】四、内网横向-IPC横向
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。[ 简介 ]——————...
Windows图形化应急分析工具
想起之前的hvv演练,安全组最近天天在机房盯着主机日志。那段时间处理一个异常外联事件,突然想起上个月在GitHub挖到的这个小工具,今天给大家唠唠它在实战中的那些隐藏用法。咱们先说说日常遇到的糟心事:...
事件 ID 才是真正的溯源神器,你还在看 IP?
关注公众号夜风Sec,持续分享各种工具和学习记录,与师傅共同进步 :)在应急响应中,Windows 日志(特别是 Security.evtx、System.evtx、Application.evtx ...
篡改计划任务
重要声明: 本文档中的信息和工具仅用于授权的安全测试和研究目的。未经授权使用这些工具进行攻击或数据提取是非法的,并可能导致严重的法律后果。使用本文档中的任何内容时,请确保您遵守所有适用的法律法规,并获...
【安全研究】若依4.8.0版本计划任务RCE研究
痛苦的时刻,就是真相大白的时刻。只有接受现实,才能做出有意义的改变。 ——《纳瓦尔宝典》免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的...
Windows操作计划任务常用命令及排查方法
Windows系统计划任务是在攻防场景下,权限维持的一种常用的方式。通常在获取目标权限后,为了避免权限丢失,而设置持久化项。系统计划任务便是其中的一种,使得后门程序再次启动。本篇文章主要介绍了通过系统...
SMS短信验证服务或存风险,小心账号隐私失守
一想到你在关注我就忍不住有点紧张近期,火绒安全情报中心监测到一款伪装成具备SMS短信验证码接收服务的程序。该程序通过部署持久化后门(即僵尸网络节点)窃取敏感信息。火绒安全提醒广大用户务必从官方或可信渠...
漏洞预警| Windows任务计划程序漏洞可避开UAC执行高权限命令
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
专家发现 Windows 任务计划程序中存在四个新的权限提升漏洞
导 读网络安全研究人员详细介绍了 Windows任务调度服务核心组件中的四个不同漏洞,本地攻击者可以利用这些漏洞实现权限提升并擦除日志以掩盖恶意活动的证据。漏洞出在名为“ schtasks.exe ”...
应急响应和权限维持 | autoruns使用手册-上
01—前言 Windows官方提供的Autoruns工具,是用来查看、监视以及禁用自启动程序的最佳工具之一,能深度扫描注册表、服务、驱动、计划任务等数十个关键位置。 下载地址:https://l...
应急响应实战:windows日志evtx 文件分析
在windows系统直接打开evtx文件进行分析。过滤4624登录成功事件过滤4738用户账户属性修改过滤4663 文件或文件夹访问搜索应用程序过滤ID事件100,找到starting as proc...