*本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。01用户态 API 挂钩用户模式 API 挂钩使 EDR 能够动态检查在 Windows API 或本机 API 上下文中执行的...
伪造调用栈来迷惑EDR和杀软
调用栈调用栈是EDR产品一个被低估但通常重要的遥测数据源。它们可以为事件提供重要的上下文,并在确定误报和真正阳性(尤其是在凭证盗窃事件,例如对lsass的句柄访问)方面成为一个极其强大的工具。已经有一...
Microsoft Word 远程代码执行漏洞(CVE-2023-21716)
概述Microsoft Word 是 Microsoft Office 附带的文字处理应用程序。根据默认安装,Microsoft Word 处理多信息文本格式 (RTF) 文档。Microsoft O...
Word-RCE漏洞原理分析附POC
前言现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦!Microsoft Office 的 wwlib 中的一个漏洞允许攻击者实现 以打开恶意软件的...
Arsenal 2.0 提升恶意软件隐蔽战术以绕过静态检测
Arsenal 2.0 Elevating Malware Stealth Tactics to bypass static detection注意: 本博客是我之前文章“Arsenal: 绕过 ED...
HookChain:深入探究高级 EDR 绕过技术
HookChain: 深入解析高级 EDR 绕过技术HookChain 是一种新型技术,通过利用底层 Windows API 并操控系统调用与用户态钩子的交互方式,来绕过终端检测与响应(EDR)解决方...
Windows 进程注入:KnownDlls 缓存中毒
介绍这是对James Forshaw在通过 KnownDlls 绕过 CIG中描述的一种注入方法的快速回应。在 Windows 上毒害 KnownDlls 缓存的第一个示例可以追溯到1999 年 2 ...
利用虚假 DLL、保护页和 VEH 实现增强EDR检测
利用虚假 DLL、保护页和 VEH 实现增强EDR检测免责声明本文不会提及任何产品或制造商的名称。出于保密原因,我对所有使用的图像进行了匿名处理。本文的目的纯粹是学术性的;这里分享的信息仅用于研究目的...
GO静态免杀初探
更多全球网络安全资讯尽在邑安全Go加载器网上找的Go加载器,最简单的免杀就是将shellcode加密解密,或者远程加载shellcode。package mainimport ( "syscall" ...
LayeredSyscall——滥用 VEH 绕过 EDR
介绍EDR 使用用户空间钩子,这些钩子通常放置在Windows 操作系统中,ntdll.dll有时也位于每个进程中。它们通常以以下两种方式之一实现钩子程序:kernel32.dll使用重定向修补要挂钩...
重生之我在干免杀-堆栈欺骗
免责声明:本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,...
利用系统调用绕过杀软
免责声明 请您仔细阅读以下声明: 您在AtomsTeam查看信息以及使用AtomsTeam服务,表明您对以下内容的接受: AtomsTeam提供程序(方法)可能带有攻击性,仅供安全研究...