进程句柄 | CN-SEC 中文网

函数调用进入内核层分析

概述在windows系统上，涉及到内核对象的功能函数，都需要从应用层权限转换到内核层权限，然后再执行想要的内核函数，最终将函数结果返回给应用层。本文就是用OpenProcess函数来观察函数从应用层...

11月27日程序逆向23 views评论

阅读全文

安全文章

利用NtDuplicateObject进行Dump

前言这是国外老哥2020年提出的一种蛮有意思的思路。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。（本文仅用于交流学习）大致思路我...

11月14日7 views评论

阅读全文

安全工具

Dumpy：一款针对LSASS数据的动态内存取证工具

关于DumpyDumpy是一款针对LSASS数据的动态内存取证工具，该工具专为红队和蓝队研究人员设计，支持重新使用打开的句柄来动态转储 LSASS。运行机制Dumpy可以动态调用 MiniDumpWr...

08月23日38 views评论

阅读全文

安全漏洞

Xbox 游戏服务的本地权限提升（LPE）漏洞的 PoC

Xbox 游戏服务中 LPE 错误的 PoC当服务启动并且用户登录 gamesservice 时，将在低权限用户的上下文中生成 xgamehelper.exe 进程，并将特权进程句柄泄漏到新进程中。漏...

05月17日11 views评论

阅读全文

安全文章

火绒剑杀死进程分析

为什么要研究火绒剑是怎么杀死进程的？公司也是做DLP数据防泄漏的，客户机器上装了免费的火绒安全软件就能杀死我们的进程了，这怎么能行那？客户还不允许火绒剑不好使，那没有办法就大概看一下火绒剑是怎么杀死进...

05月25日46 views评论

阅读全文

安全闲碎

Dumping Lsass Process Memory In Different Ways

点击蓝字 / 关注我们0x00 前言Dumping Credentials from Lsass Process Memory在内网渗透流程中起到不可忽视的作用。本文将从源码以及对...

01月29日44 views评论

阅读全文

安全文章

Dumping Lsass Process Memory In Different Ways

0x00 前言 Dumping Credentials from Lsass Process Memory在内网渗透流程中起到不可忽视的作用。本文将从源码以及对抗杀软的角度对几种仍然有效的方法进行分析...

11月10日66 views评论

阅读全文

程序逆向

借助内核回调阻断 Windows 进程注入

0. TL; DR本文分享一个有意思的项目 pi-defender[1]（Process Injection Defender）。其在内核层阻断所有可能的进程注入，并通过签名和白名单来很大程度减少误杀...

09月04日64 views评论

阅读全文

函数调用进入内核层分析

利用NtDuplicateObject进行Dump

Dumpy：一款针对LSASS数据的动态内存取证工具

Xbox 游戏服务的本地权限提升（LPE）漏洞的 PoC

火绒剑杀死进程分析

Dumping Lsass Process Memory In Different Ways

Dumping Lsass Process Memory In Different Ways

借助内核回调阻断 Windows 进程注入

在线咨询

微信