来源:DFIR汽车EDR一般记录车辆碰撞前后的数秒(5s左右)相关数据,包括车辆速度、发动机转速、油门和刹车位置、安全带使用情况、气囊打开情况等数据信息,取决于具体车型型号、制造年份、制造商等因素--...
你永远难以忘记的pool party:用windows线程池的新进程注入技术
背景进程注入作为一种用于在目标进程中执行任意代码的规避技术,进程注入通常由三个函数组成:分配函数:用于在目标进程上分配内存写入函数:用于向分配的内存写入恶意代码执行函数:用于执行编写的恶意代码最基本的...
白驱动 Kill AV/EDR(上)
“ 本文是白驱动Kill AV/EDR 的第一部分,将讨论驱动开发原理,杀软/EDR 监控拦截原理,并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室 免责声明 ——...
白驱动 Kill AV/EDR(下)
原文始发于微信公众号():白驱动 Kill AV/EDR(下)
ASPX内存执行shellcode,绕过Windows Defender(AV/EDR)
免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
某信服 EDR 白程序DLL劫持
本文用到的白程序回复公众号20231211进行获取。嗯... 记得去年HW的时候某信服给我装的EDR一直没卸载,不是不想卸载,是因为卸载要密码,所以就摆烂了。。。。找到EDR这个目录,然后把目录复制到...
【电子取证篇】汽车取证数据提取与汽车取证实例浅析(附标准下载)
汽车EDR一般记录车辆碰撞前后的数秒(5s左右)相关数据,包括车辆速度、发动机转速、油门和刹车位置、安全带使用情况、气囊打开情况等数据信息,取决于具体车型型号、制造年份、制造商等因素-...
一款可以干掉杀毒跟EDR的工具
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
恶意软件攻击技术大揭秘——直接系统调用
近年来,我们发现恶意使用直接系统调用来逃避安全产品挂钩的情况有所增加。这些挂钩用于监视可能存在恶意活动的 API 调用。什么是API hookAPI 挂钩是防病毒和 EDR 解决方案使用的一种技术,旨...
基于C++的绕过EDR的POC
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
看穿供应商的说辞:解释MITRE ATT&CK的评估结果
2023年10月16日写在前面:MITRE Engenuity 每年都会进行一次企业评估,主要是评测EDR产品,使用某著名APT组织在实际入侵中使用的攻击手法,衡量厂商的检测情况,非常具有现...
检测网吧上网终端安全
先看一张图,从淘宝搜索看到很多人steam账号被盗,很多人不懂申诉就找淘宝上的店铺帮忙,从订单上看是有很多受害的,可能每天都在新增。 网吧上网去登录比较敏感的游戏账号可能会被盗,公共上的网络终端一点都...
21