概述父进程欺骗是一种访问令牌操作技术,通过将恶意文件的PPID指定为explorer.exe等合法进程的PPID,可帮助攻击者规避启发式检测等防御技术。该欺骗可通过使用本地API调用来执行,该调用可帮...
04月23日37 views评论windows
进程
红队技术-父进程欺骗(T1134)
04月23日37 views评论windows
进程
04月23日37 views评论windows
进程
bypass Bitdefender
首发于先知社区:https://xz.aliyun.com/t/9493前言 渗透时,可能会遇到各种各样的的杀软,但每个杀软特性不同,在绕过前,往往都需要分析,本文就Bitdefender进行分析最近...
04月18日42 views评论shellcode
word
afl启动流程分析
afl-gcc.c afl-gcc.c文件在gcc的基础上套了层壳,主要作用为进行一些检查,然后运行afl-as。其中会设置一些参数,默认为 -g -O3 -funroll-loops -D__AFL...
04月16日255 viewsafl启动流程分析已关闭评论SecIN安全技术社区
server
搬砖日记 | 来活了,还是APT攻击
从事应急响应的小伙伴总是有那么些共鸣。例如: 或许是个人功力有限,总是会遇到各种“乱来”的应急响应,锤炼着“安服仔”脆弱的心志。给小伙伴们分享一个具有 APT 性质组织利用 Li...
04月13日207 views评论apt
linux
「装杯系列」驱动强制结束360核晶主动防御
使用的是aswArPot.sys这个驱动,非常简单,熟悉驱动编写的很快会编写出POC,是前两天看到群友发的分析文章:https://www.aon.co...
04月01日415 views评论cyber
poc
【应急响应】Linux应急响应之工具篇
声 明本文由Tide安全团队成员“菜鸟的菜”首发于FreeBuf https://zhuanlan.freebuf.com/column/index/?name=Ti...
03月31日56 views评论文件
系统
容器安全事件排查与响应
声明本文为笔者对实际容器安全事件的归纳,仅代表个人观点。文末为容器安全事件排查与响应思维导图。引子定位初始入侵位置首先要确认入侵是否发生在容器内,或者说只在容器内。场景:zabbix告警一个进程占用非...
03月29日59 views评论docker
id
目录遍历、文件包含与Proc文件系统
目录遍历和文件包含这两个漏洞通常存在于web服务器上,目录遍历通常可以读取web服务器上的文件夹或文件,文件包含则可以读取服务器上的任意文件的内容。攻击者可以读取/etc/passwd文件和shell...
03月07日218 views评论net
文件包含
从一个APP的内部链接到查看妹子信息/登录妹子账号
0x001作为一只万年单身狗只想默默问一句那些小哥哥你们的美貌女朋友哪里找的怎么我就找不到???假期闲来无事,自然是默默的寻找好看的小姐姐于是打开0x002经过一阵抽搐挖掘SRC中搜索到了某职工APP...
02月28日85 views评论app
xss
内网渗透之windows、linux信息收集
1. 信息收集 - Windows1.1. 基本命令查询所有计算机名称 dsquery computer查看配置及补丁信息 systeminfo查看版本 ver...
02月18日182 views评论linux
windows
文件包含漏洞
照搬大佬的文章,总结得太详细了。敬佩。 参考文章:php文件包含漏洞https://chybeta.github.io/2017/10/08/php%E6%96%87%E4%BB%B6%E5%8C%8...
01月06日72 views评论pid
proc
别再 kill -9 了,这才是服务上下线的正确姿势!
点击下方“IT牧场”,选择“设为星标”来源:blog.csdn.net/qq_33220089kill -9 pid ???kill可将指定的信息送至程序。预设的信息为SIGTERM(15),可将指定...
06月10日69 views评论kill
程序
5