进程注入 进程注入是一种在独立活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码会允许代码访问进程的内存、系统/网络资源,以及可能提升的特权。由于合法进程掩盖了(注入进程的)执行,...
04月15日ATTACK4 views评论恶意代码
进程注入
ATT&CK - 进程注入
04月15日ATTACK4 views评论恶意代码
进程注入
04月15日ATTACK4 views评论恶意代码
进程注入
常规APC注入
免责声明 文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任 前言 APC注入可以让一个线程在它正常的执...
03月05日9 views评论ap
线程
利用EDR预加载机制绕过EDR
1.摘要在之前的一篇文章中, 详细介绍了如何利用系统调用来绕过用户模式的EDR挂钩, 这里将介绍另一种EDR预加载的替代技术, 该技术涉及在EDR的DLL加载到进程之前运行恶意代码, 使我们能够完全阻...
02月16日23 views评论edr
ptr
以太网布线要点
点击上方蓝字谈思实验室获取更多汽车网络安全资讯部署以太网布线是网络的核心组件,是可靠、高速数据传输的骨干。与无线相比,利用以太网具有重要的优势,例如减少延迟、提高安全性和整体稳定性。Cat5、Cat5...
09月22日8 views评论以太网
连接器
结合多种规避技术的 Go shellcode 加载器
项目简介 Hades 是一个概念验证加载器,它结合了几种规避技术,旨在绕过现代AV / EDR常用的防御机制。 项目描述 用法 最简单的方法可能是使用 make. git clone https://...
06月25日75 views评论queue
shellcode
Hades:一款整合了多种规避技术的Go Shellcode加载器
关于Hades Hades是一款整合了多种规避技术的Go Shellcode加载器,当前版本的Hades只是一个概念验证程序,旨在帮助广大研究人员尝试绕过流行AV/EDR的安全防御机制,并以此来验证安...
06月24日35 views评论go
queue
QueueUserAPC和NtMapViewOfSection是如何在进程中执行 shellcode的(二)
0X00 前言在实际环境中CreateRemoteThread会被诸如Windows Defender等各大杀软严格检测拦截。QueueUserAPC和NtMapViewOfSection是我们可以用...
06月02日47 views评论queue
shellcode
APC注入
1.APC机制 是一种并发机制,APC函数在线程中被异步回调线程调用SleepEx、SignalObjectAndWait、MsgWaitForMultipleObjectsEx、WaitForMul...
05月16日48 views评论线程
进程
【漏洞通告】Schneider Electric & APC UPS多个安全漏洞
一、漏洞概述不间断电源(UPS)设备旨在保护数据中心、服务器群和小型网络基础设施在电力波动或停电时进行不间断供电。APC(施耐德电气旗下)是最受欢迎的UPS品牌之一,其产品广泛应用于消费者和企业市场,...
04月26日安全漏洞125 views评论漏洞通告
身份验证
Win10 x64 APC的分析与玩法
本文为看雪论坛优秀文章看雪论坛作者ID:icey_这段时间没啥事干,就断断续续把 Windows 的 APC机制给分析了一下,发现许多地方还是比较有趣的,例如:用户特殊APC一开始是插入到内核APC链...
03月10日24 views评论pos
链表
利用APC队列隐藏线程
一. 风起先来看一段信标加载的代码这份代码通过加载文件形式的payload上线,看起来并没有什么问题,而且分离式免杀效果也还可以,但是当面对众多AV软件时,在运行时还是有可能会被pass掉。根据我为数...
01月07日44 views评论hook
shellcode
九维团队-青队(处置)| 代码注入和钩子(四)
写在前边1.本文原文为K A, Monnappa. 2018年发表的《Learning Malware Analysis》,本文的相关内容均为笔者对相关内容的翻译及实践记录,仅供各位学术交流使用。另出...
10月30日43 views评论恶意代码
恶意软件