NT 头部(NT Header)是 PE 文件格式的核心部分之一,它包含了有关程序如何加载、执行以及一些重要的文件属性。NT 头部常被认为是PE 头部的核心或“真正的”PE 头部,因为操作系统加载 P...
12月08日13 views评论pe
标识符
PE文件结构:NT头部
12月08日13 views评论pe
标识符
12月08日13 views评论pe
标识符
海莲花组织以社保话题为诱饵进行 APT 攻击
作者:知道创宇404高级威胁情报团队时间:2024年7月9日 01 概述 近期,知道创宇404 高级威胁情报团队发现海莲花组织针对的攻击样本,该样本以社保、公积金调整等字眼吸引受害者点击,同时我们发现...
07月12日30 views评论威胁情报
样本
TA577利用ZIP附件窃取NTLM哈希
The threat actor known as TA577 has been observed using ZIP archive attachments in phishing emails w...
03月08日19 views评论ntlm
邮件
windows 受保护用户安全组风险探索
非常感谢各位大佬的打赏让我在这个寒冷的冬天吃泡面能够加上一个🥚,感恩感恩,同时也会再接再厉给大家比较好的内容在这篇文章中,将解释什么是受保护用户组,为什么它是一个很好的安全功能,但为什么它对管理员(R...
12月18日36 views评论加密
身份验证
APT之旅 - PE静态内容结构
⼀、前⾔⼆、PE 结构 1. DOS Header 2. NT Headers (1)File Header (2)Optional Header (3)DataDirectory 3. Sectio...
07月29日14 views评论pe
section
站在巨人的肩膀上一种ShellLoder免杀方法-附POC
0x01前言本次免杀的研究经历了某次hvv的实战后,决定放出源码供大家进行学习研究。 由于大部分杀软和安全设备是通过在用户模式API 函数中放置钩子,能够将程序中代码的执行流重定向到其引擎并检测可疑行...
07月11日103 views评论context
系统调用
【横向移动】SharpToken - Windows 令牌窃取
关注我们 | 发现更多精彩内容 在红队横向移动的过程中,我们经常需要窃取其他用户的权限。在现代 EDR 的防御下,我们很难使用 Mimikatz 获取其他用户的权限,如果目标用户没有活着的进程,我们也...
06月24日133 views评论bypass
权限
Pass-the-Hash攻击
Pass-the-Hash简称PTH,即Hash中继技术。我们在内网渗透中,常常会遇到这样一种场景:获得了某台Windows主机的权限,且已知username,但是读取其NTML Hash以后无法破解...
05月17日47 views评论mimikatz
smb
提权神器!Windows令牌窃取专家
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 工具介绍 在红队横向移动的过程中,我们经常需要窃取其...
05月16日102 views评论bypass
权限
AV/EPP/EDR Windows API hook list
CrowdStrike_EPP_EDRHooks redirect to "EDR hooking.dll" >> umppc*****.dll for example umppc1660...
04月17日179 views评论edr
memo
UAC绕过、提升、持久化方法
UAC 绕过技术:- 使用 runas 绕过 UAC- 使用 fodhelper.exe 绕过 UAC- 使用 slui.exe 绕过UAC - 使用 silentcleanup 计划任务绕过 UAC...
04月05日安全文章108 views评论uac
持久化
【高级威胁追踪】黑莲花BlackLotus UEFI BootKit分析与检测
概述去年10月份,一名恶意软件开发者在地下论坛上出售一款名称为黑莲花BlackLotus的新型UEFI BootKit恶意软件,该UEFI BootKit植入系统固件当中,在系统启动序列的初始阶段加载...
03月15日214 views评论uefi
恶意软件