2025年6月11日,安全研究者Peter Gabaldon在其X帖子(https://x.com/PedroGabaldon/status/1932698670622806214)中披露了一种创新的...
【应急响应工具教程】Logman 系统性能与日志采集工具
1、工具简介Logman 是 Windows 系统自带的命令行工具,用于管理 Windows 事件跟踪 (ETW) 和事件跟踪会话。它可以帮助系统管理员、开发者或运维人员监控系统性能、收集数据以及排查...
隐身系统调用执行:绕过 ETW、Sysmon 和 EDR 检测
这篇文章《Stealth Syscall Execution: Bypassing ETW, Sysmon, and EDR Detection》主要讲解了如何通过隐形系统调用(Stealth Sys...
篡改计划任务
重要声明: 本文档中的信息和工具仅用于授权的安全测试和研究目的。未经授权使用这些工具进行攻击或数据提取是非法的,并可能导致严重的法律后果。使用本文档中的任何内容时,请确保您遵守所有适用的法律法规,并获...
Hooka:多功能 Shellcode 加载器生成工具详解
Hooka介绍Hooka 是一款功能强大的 shellcode 加载器生成工具。它能够生成多种功能的 shellcode 加载器,并基于 BokuLoader、Freeze 或 Shhhloader ...
2025 年 EDR 规避的新趋势
您已经知道端点检测和响应 (EDR)会监控 Windows API 调用是否存在可疑行为。通常,他们使用用户模式 API 挂钩等技术来拦截 ntdll.dll 中的函数。到目前为止,我们使用了诸如直接...
ETW的攻与防
前言 ETW全称为Event Tracing for Windows,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一...
发现对抗性LDAP Tradecraft
TrustedSec 研究主管Carlos Perez和 Binary Defense 研究主管Jonathan Johnson撰写的文章。最初发布在Binary Defense 页面上。介绍虽然发现...
SwaetRAT python loader分析
新年已至,但网络安全领域的攻击场景依旧严峻。近期,我发现了一个行为极为隐蔽的Python脚本,其在VirusTotal上的检测评分仅为7/61,这意味着大部分安全引擎未能有效识别其潜在威胁。该脚本主要...
绕过 Windows Defender (10 种方法)
介绍在本文中,我将解释 10 种方法/技术,以绕过具有最新 Windows Defender 信息的完全更新的 Windows 系统,以执行不受限制的代码(即权限/ACL 除外)。用于测试的设置如下:...
[HITBSecConf2024 — 曼谷] COMMSEC:我的第一个也是最后一个 Shellcode 加载器
[HITBSecConf2024 — 曼谷] COMMSEC:我的第一个也是最后一个 Shellcode 加载器什么是 Shellcode?Shellcode 被描述为一组注入并由被利用程序执行的指令...
DripLoader项目解析
欢迎加入我的知识星球,目前正在跟更免杀相关的东西,129/永久,每100人加29。加好友备注星球!!!一些资源的截图:等等....好了废话不多说。简介根据Github作者介绍这个项目是一个规避型 sh...