前言Cobalt Strike的截屏,获取hash等功能都是靠反射型dll注入完成的,当我们使用screenshot功能时,都会注入到一个进程然后再执行截屏的相关代码,而进程注入是杀软监测的一个重点,...
06月16日58 views评论cobaltstrike
功能
CobaltStrike非注入截屏BOF
06月16日58 views评论cobaltstrike
功能
06月16日58 views评论cobaltstrike
功能
macOS远程进程注入Shellcode
前言非常感谢无私的郑佬分享某站的资源,看完 mach 相关章节后记录在 m1(arm) 下折腾远程进程注入的过程。Mach IPCMach[1] 最初是由卡内基梅隆大学作为微内核开发的,现如...
06月06日159 views评论shellcode
端口
CreateThread和CreateRemoteThread实现进程注入 (一)
0X00 什么是进程注入进程注入技术一直以来都是一个老生常谈的话题。这是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着攻击者可以将自定义代码运行在另一个进程的地址空间内,然后去进行敏感操作,...
06月05日30 views评论handler
shellcode
bypass 行业最优质的EDR
现在当我和我的红队朋友谈及进程注入的话题时,回答通常是“是的……但是……”。因为检测的风险超过了在宿主进程中“寄生”的需要。典型的进程注入技术过于突出,而且注入往往与恶意活动有关。有时,我喜欢培养这种...
05月12日134 views评论bypass
函数
HVV技术干货 | 红队免杀必会-进程注入-注册表-全局钩
概要:进程注入 ,简而言之就是将代码注入到另一个进程中,跨进程内存注入,即攻击者将其代码隐藏在合法进程中,长期以来一直被用作逃避检测的手段.前言 进程注入 ,简而言之就是将代码注入到另一个进程中,跨进...
03月17日73 views评论hvv
注册表
『杂项』一篇 Windows 应急响应的详细笔记
点击蓝字 关注我们日期:2023-02-23作者:pbfochk介绍:Windows系统的应急响应笔记(一)。0x00 前言不同系统的应急响应都有一个通用的方法,在知晓被入侵的攻击类型后,站在攻击者的...
02月25日158 views评论windows
系统
检测linux进程注入2:netlink实时监控
通过Netlink方式来实时获取ptrace事件一般ptrace注入过程时间非常短,而遍历/proc的时间会比较长,往往会错过那些快速注入的恶意进程。而把扫描频次调高,又会引起对系统性能的占用。那么有...
02月14日安全文章199 views评论thread
进程注入
Linux进程注入
本文展示进程注入的技术,可惜只是上一部分代码。作者也没有再写。译自https://www.tarlogic.com/blog/linux-process-infection-part-i/红蓝对抗中,...
02月02日安全文章36 views评论puts
系统调用
原理 | 进程注入 - 远程线程注入
最近研究进程注入,也是边学边记录。以下是个人记录1前置知识提起远程线程注入,大家有可能会理解为我在广西,你在北京,我注入你的线程。其实并不是这个样子。系统在每次运行一个exe 程序的时候系统会默认分配...
10月08日46 views评论dll文件
进程注入
借助内核回调阻断 Windows 进程注入
0. TL; DR本文分享一个有意思的项目 pi-defender[1](Process Injection Defender)。其在内核层阻断所有可能的进程注入,并通过签名和白名单来很大程度减少误杀...
09月04日59 views评论process
白名单
APC进程注入
什么是APCAPC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。MSDN解释为:相关函...
08月01日27 views评论queue
回调函数
进程注入的探索
本文首发先知,原文请点下方阅读原文~前言文章涉及的技术并不深,只是本人在学习进程注入过程中的记录,文章的内容将涉及到进程注入基础、通过快照自动获取Pid、分离加载shellcode、IAT导入表的基本...
07月29日26 views评论shellcode
size
4