进程 - 第 3 | CN-SEC 中文网

安全百科

红队活动 SYSTEM 权限提升

在你的红队或渗透测试活动中，升级到 Windows 机器上的SYSTEM 始终是期望的目标。SYSTEM 用户是具有最高权限的特殊操作系统用户，许多后期利用技术都需要这种类型的访问权限。当然，为了获...

06月06日29 views评论

阅读全文

程序逆向

Windows 利用父进程欺骗绕过EDR检测

介绍监控父进程和子进程之间的关系是威胁检测团队检测恶意活动的常用方法。例如，如果 PowerShell 是子进程，而 Microsoft Word 是父进程，则表明存在入侵。各种 EDR（端点检测和响...

06月03日124 views评论

阅读全文

程序逆向

一个键盘消息钩子的分析过程

在开始之前，推荐一位抖音摄影师 “在新疆的摄像师阿昊”。我经常刷到他，是一位在新疆给女孩拍照并指导女孩如何摆拍、被评价为“全网最销魂的身姿”的摄像师；看着像西...

06月01日13 views评论

阅读全文

应急响应

实战记一次linux应急响应

文章作者：奇安信攻防社区（fan）文章来源：https://forum.butian.net/share/3015 服务器中挖矿木马的事件时有发生，今天分享的是fan大佬写的Linux应急响应。 1...

05月30日21 views评论

阅读全文

程序逆向

句柄降权绕过CallBacks检查

一什么是句柄当一个进程利用名称来创建或打开一个对象时，将获得一个句柄，该句柄指向所创建或打开的对象。以后，该进程无须使用名称来引用该对象，使用此句柄即可访问。这样做可以显著地提高引用对象的效率。...

05月18日22 views评论

阅读全文

安全文章

进攻性横向移动

横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作，这将返回一个信标。问题在于攻...

05月18日21 views评论

阅读全文

程序逆向

银狐样本分析

病毒概述 msi在安装过程中执行恶意脚本，在C盘释放载荷ee.exe，ee.exe解密执行shellcode，shellcode通过多种手段执行反调试操作，添加Windows Defender的排除路...

05月15日21 views评论

阅读全文

应急响应

个人电脑中挖矿病毒程序一把梭直接定位到人

阅读须知文章仅供参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！...

05月14日22 views评论

阅读全文

应急响应

应急响应 - 基于Lnk钓鱼的样本分析

今日分享一下【赤鸢安全】公众号的一篇文章：【免杀】记一次lnk钓鱼小技巧文中的视频说到：很难找到我的shellcode！哟呵？激起了我好奇，到底有多难找，毕竟咱们也是玩过一丢丢免杀的，也想看看其...

05月05日24 views评论

阅读全文

程序逆向

Windows | AV/EDR对抗之BYOVD技术

BYOVD为Bring Your Own Vulnerable Driver缩写，该缩写为业内共识，解释为向目标环境植入一个带有漏洞的合法驱动程序，利用驱动漏洞获得内核权限，实现任意代码执行或终止任意...

05月01日227 views评论

阅读全文

未分类

windows-lsass转储篇

lsass.exe（Local Security Authority Subsystem Service进程空间中，存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限，用户便可以访问LSA...

04月24日48 views评论

阅读全文

ATT&CK -

PPID欺骗对手可能会欺骗新进程的父进程标识符（PPID），以逃避进程监视防御或提升特权。除非明确指定，否则通常直接从其父进程或调用进程中产生新进程。显式分配新进程的PPID的一种方法是通过Crea...

04月15日ATTACK9 views评论

阅读全文

红队活动 SYSTEM 权限提升

Windows 利用父进程欺骗绕过EDR检测

一个键盘消息钩子的分析过程

实战记一次linux应急响应

句柄降权绕过CallBacks检查

进攻性横向移动

银狐样本分析

个人电脑中挖矿病毒程序一把梭直接定位到人

应急响应 - 基于Lnk钓鱼的样本分析

Windows | AV/EDR对抗之BYOVD技术

windows-lsass转储篇

ATT&CK -

在线咨询

微信