openprocess | CN-SEC 中文网

程序逆向

免杀｜红蓝视角下的Windows进程注入

长风安全实战能力知识库 http://wave.cf-sec.cn/user/login一个由实战派推动的安全内容建设平台，传递一线经验，助力实战应用能力提升！长风安全实战能力知识库长风安全，公...

12月28日3 views评论

阅读全文

安全文章

伪造调用栈来迷惑EDR和杀软

调用栈调用栈是EDR产品一个被低估但通常重要的遥测数据源。它们可以为事件提供重要的上下文，并在确定误报和真正阳性（尤其是在凭证盗窃事件，例如对lsass的句柄访问）方面成为一个极其强大的工具。已经有一...

11月28日18 views评论

阅读全文

函数调用进入内核层分析

概述在windows系统上，涉及到内核对象的功能函数，都需要从应用层权限转换到内核层权限，然后再执行想要的内核函数，最终将函数结果返回给应用层。本文就是用OpenProcess函数来观察函数从应用层...

11月27日程序逆向23 views评论

阅读全文

安全文章

驱动绕过ppl保护dump lsass

介绍有关ZwOpenProcess函数介绍参考连接:ZwOpenProcess 函数 (ntddk.h) - Windows drivers | Microsoft Learn直观一些可以参考chat...

08月04日55 views评论

阅读全文

父进程欺骗DidierStevens(二)

获取访问令牌DEBUG权限getCurrentProcess 函数 (processthreadsapi.h) 官方文档：https://learn.microsoft.com/zh-cn/wi...

08月03日程序逆向8 views评论

阅读全文

父进程欺骗DidierStevens(三)

创建新的进程完成父进程欺骗OpenProcess 函数 (processthreadsapi.h) 官方文档：https://learn.microsoft.com/zh-cn/windows/...

08月03日程序逆向10 views评论

阅读全文

安全文章

Windows权限维持——利用动态补丁技术隐藏后门

01什么是动态补丁？动态补丁又称热补丁，是指目标PE处于活跃状态时（即进程）为其实施的补丁。一个完整的动态补丁一般需要具备以下四个要素：1.与其他进程通信的能力。2.良好的读写其他进程地址空间的能力。...

02月09日23 views评论

阅读全文

程序逆向

进程注入

系统调用来进行注入，不明白的可以https://blog.csdn.net/qq_34479012/article/details/128892693这里使用到如下几个函数:NtOpenProcess...

12月16日49 views评论

阅读全文

安全文章

WTS API 令牌窃取技术

概述传统令牌窃取技术如下：OpenProcess / NtOpenProcess -> OpenProcessToken -> DuplicateTokenEx -> CreateP...

10月14日58 views评论

阅读全文

安全文章

R3层最后的倔强--权限切换

本文为看雪论坛优秀文章看雪论坛作者ID：kardpan一前言针对r3层的最强防御，应该就是自己实现调用r0的内核函数。不使用系统提供的API接口。这样能防御别人在导入函数的下断点，或者IAT HOOK...

01月21日68 views评论

阅读全文

安全文章

JVM加载Shellcode

✎ 阅读须知Clans安全团队的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机...

12月08日13 views评论

阅读全文

安全文章

远线程注入

简介有时为了方便对进程中的数据进行修改，我们需要将可执行的shellcode或者dll注入到目标进程中。注入技术有很多，比如：• 通过createRemoteThread和LoadLibra...

11月07日24 views评论

阅读全文

免杀｜红蓝视角下的Windows进程注入

伪造调用栈来迷惑EDR和杀软

函数调用进入内核层分析

驱动绕过ppl保护dump lsass

父进程欺骗DidierStevens(二)

父进程欺骗DidierStevens(三)

Windows权限维持——利用动态补丁技术隐藏后门

进程注入

WTS API 令牌窃取技术

R3层最后的倔强--权限切换

JVM加载Shellcode

远线程注入

在线咨询

微信