长风安全实战能力知识库 http://wave.cf-sec.cn/user/login一个由实战派推动的安全内容建设平台,传递一线经验,助力实战应用能力提升!长风安全实战能力知识库长风安全,公...
伪造调用栈来迷惑EDR和杀软
调用栈调用栈是EDR产品一个被低估但通常重要的遥测数据源。它们可以为事件提供重要的上下文,并在确定误报和真正阳性(尤其是在凭证盗窃事件,例如对lsass的句柄访问)方面成为一个极其强大的工具。已经有一...
函数调用进入内核层分析
概述 在windows系统上,涉及到内核对象的功能函数,都需要从应用层权限转换到内核层权限,然后再执行想要的内核函数,最终将函数结果返回给应用层。本文就是用OpenProcess函数来观察函数从应用层...
驱动绕过ppl保护dump lsass
介绍有关ZwOpenProcess函数介绍参考连接:ZwOpenProcess 函数 (ntddk.h) - Windows drivers | Microsoft Learn直观一些可以参考chat...
父进程欺骗DidierStevens(二)
获取访问令牌DEBUG权限getCurrentProcess 函数 (processthreadsapi.h) 官方文档:https://learn.microsoft.com/zh-cn/wi...
父进程欺骗DidierStevens(三)
创建新的进程完成父进程欺骗OpenProcess 函数 (processthreadsapi.h) 官方文档:https://learn.microsoft.com/zh-cn/windows/...
Windows权限维持——利用动态补丁技术隐藏后门
01什么是动态补丁?动态补丁又称热补丁,是指目标PE处于活跃状态时(即进程)为其实施的补丁。一个完整的动态补丁一般需要具备以下四个要素:1.与其他进程通信的能力。2.良好的读写其他进程地址空间的能力。...
进程注入
系统调用来进行注入,不明白的可以https://blog.csdn.net/qq_34479012/article/details/128892693这里使用到如下几个函数:NtOpenProcess...
WTS API 令牌窃取技术
概述传统令牌窃取技术如下:OpenProcess / NtOpenProcess -> OpenProcessToken -> DuplicateTokenEx -> CreateP...
R3层最后的倔强--权限切换
本文为看雪论坛优秀文章看雪论坛作者ID:kardpan一前言针对r3层的最强防御,应该就是自己实现调用r0的内核函数。不使用系统提供的API接口。这样能防御别人在导入函数的下断点,或者IAT HOOK...
JVM加载Shellcode
✎ 阅读须知Clans安全团队的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机...
远线程注入
简介有时为了方便对进程中的数据进行修改,我们需要将可执行的shellcode或者dll注入到目标进程中。注入技术有很多,比如:• 通过createRemoteThread和LoadLibra...