提升权限 DumpLsass需要SeDebugPrivilege权限,管理员Powershell默认是有的,流程是首先提升进程权限,看网络上的前辈视频和文章第一种方法用底层函数RtlAdjustPri...
免杀基础-IAT隐藏
免杀基础-IAT隐藏导入表包含了导入的DLL和使用的函数 其中如Kernel32.dll下的CreateRemoteThread VirtualAllocEx等函数被杀软认为是高度可疑的我们可以通过导...
Shellcode学习(一) —— 通过C编写shellcode
本文主要是基于网上一些现有的shellcode编写文章的学习整理和思考。本篇主要是通过C代码生成shellcode,比较容易上手和实操,后面可能也会写直接用汇编写shellcode。前置知识shell...
【免杀】go语言调用windows api的多种方式
点击蓝字,关注Sec探索者,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担...
IAT隐藏与混淆
简介在我们的导入表中有一些PE相关的信息,比如我们写了一个loader,里面有申请内存的操作,或者有文件读取的操作,这些函数都会在导入表中出现,为了避免蓝队分析我们的二进制文件,所以我们必须将这些函数...
bypass 行业最优质的EDR
现在当我和我的红队朋友谈及进程注入的话题时,回答通常是“是的……但是……”。因为检测的风险超过了在宿主进程中“寄生”的需要。典型的进程注入技术过于突出,而且注入往往与恶意活动有关。有时,我喜欢培养这种...