sysmon - 第 2 | CN-SEC 中文网

安全文章

蓝队技术——Sysmon识别检测宏病毒

前言在不断变化的网络安全环境中，提前防范威胁是非常重要的。本文将以 Microsoft Office 宏病毒钓鱼为例，介绍如何使用 Sysmon 来获取和分析 Windows 系统日志，揭示隐藏的恶意...

09月23日22 views评论

阅读全文

安全文章

一种新的EDR致盲技术

part1点击上方蓝字关注我们往期推荐真主党寻呼机和对讲机同时爆炸背后的技术原理分析无私钥绕过客户端非对称加密算法利用Microsoft内核Applocker驱动漏洞过程利用过期域名实现劫持海量邮件服...

09月21日118 views评论

阅读全文

安全文章

图数据库在攻击链路场景下利用的可行性

前言图关系型数据库已经出现很久了，也或多或少的应用在了安全领域，如：1. 代码审计，漏洞挖掘，如：https://github.com/wh1t3p1g/tabby-path-finder/；2. 资...

08月02日21 views评论

阅读全文

安全工具

Forensia：红队擦屁股神器

红队反取证工具，用于在后期利用阶段消除一些足迹。功能卸载 Sysmon 驱动程序。古特曼方法文件粉碎。 USNJrnl 禁用器。预取禁用程序。日志擦除器和事件日志禁用器。用户协助更新时间禁...

06月20日19 views评论

阅读全文

安全文章

蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动

在这篇文章中，我们将演示如何使用Sysmon日志来分析和了解恶意软件的各种行为，其中包括如何通过Firefox从Dropbox下载、运行、并使用Windows工具进行安装。本文将介绍Sysmon日志中...

05月17日41 views评论

阅读全文

安全新闻

【勒索防护】对抗深入，Makop通过loldrivers关闭安全软件

恶意文件名称：Makop威胁类型：勒索病毒简单描述：Makop勒索软件家族于2020年首次亮相，被认为是Phobos家族的一个分支变体，主要在国内作案。该家族采用AES+RSA算法加密文件，加密后的文...

04月22日62 views评论

阅读全文

安全文章

致盲Windows上的EDR

一致谢我的对于EDR的理解离不开众多优秀的安全研究人员的帮助。以下是一些非常有帮助的文章和演讲，它们帮助我获得了所需的理解，并让我在即将呈现的研究中能够快速上手。如果你有兴趣深入了解，一定要查看以下研...

10月17日47 views评论

阅读全文

安全文章

AMSI免杀绕过：追魂夺命

反恶意软件扫描接口 (AMSI) 的开发旨在为在 Windows 环境中执行恶意脚本提供额外的安全层。AMSI 可以被不同的防病毒供应商使用，以便对基于脚本的攻击进行扫描操作。默认情况下，Window...

05月09日42 views评论

阅读全文

安全文章

通过 Sysmon 进行威胁狩猎(Threat Hunting)（一）

通过 Sysmon 进行威胁狩猎(Threat Hunting)（一）Microsoft Sysinternals SysmonSysinternals Sysmon 是一个很棒的免费工具，可以监控应...

04月08日71 views评论

阅读全文

安全文章

网络攻防对抗之“左右互搏术”

本文介绍了一种从攻防两个维度研究分析网络安全对抗技术的方法。该方法基于Sysmon日志、ATT&CK标签日志、操作系统日志的分析实践，通过几种典型攻防对抗技术示例，着重介绍和分析攻击在主机层面...

02月17日102 views评论

阅读全文

安全闲碎

sysmon+nxlog监控win下磁盘文件变化

前一段时间做windows数据采集程序，通过notify进行文件变化监控，cpu和内存占用太高，不太适用，windows的文件过滤驱动也没有研究过。今天一位大牛向我推荐了sysmon，下面是实践的流程...

02月16日182 views评论

阅读全文

安全文章

干货|微信社工攻击防护方案

微信聊天作为日常亲友沟通，工作交流的主要方式之一，在用户的潜意识中，往往不会对微信好友时刻保持警惕性，这就给了微信钓鱼攻击者可乘之机，攻击者为了获取目标信任，往往会进行身份伪装。常见的被伪装身份包括求...

01月18日124 views已关闭评论

阅读全文

在线咨询

微信