2022年4月19日
进程注入数据采集,sysmon可以获得CreateRemoteThread信息,car中进程注入检测方式
摘要: 下载地址:https://www.tarasco.org/security/Process_Injector/processinjector.zip 进程注入(pinjector.exe)提权进程注入将pinjector注入到用户的进程里一起运行,进而同时拥有了对应的权限。是一种比较隐蔽的手段,不会 阅读全文
posted @ 2022-04-19 20:22 bonelee 阅读(418) 评论(0) 推荐(0) 编辑
powercat 果然windows defender实时保护就不让我下载 关闭以后才可以运行
摘要: 阅读全文
posted @ 2022-04-19 15:54 bonelee 阅读(38) 评论(0) 推荐(0) 编辑
我的sysmon配置,默认配置就看到了进程采集,其他数据采集还是要配置下的
摘要: 我的效果: 运行: REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v eKey /t REG_SZ /d "powershell -file helloword.ps1" 我的配置文件:Sysmon 阅读全文
posted @ 2022-04-19 15:05 bonelee 阅读(1046) 评论(3) 推荐(0) 编辑
sysmon安装配置及其使用,EDR一些防御case肯定是要看的
摘要: 原文:https://www.jianshu.com/p/43bf5aadfd28 我自己安装成功以后,可以看到采集的日志,运行powershell以后生成的日志: sysmon安装配置及其使用 走错说爱你关注 22021.09.15 11:11:09字数 900阅读 1,366 sysmon是微软 阅读全文
posted @ 2022-04-19 14:45 bonelee 阅读(1509) 评论(0) 推荐(0) 编辑
nishang在windows本地下载后 windows defender的一些告警 看来在ps恶意文件检测这块 微软已经做得很强了!!!mimikatz、webshell、bruteforce类脚本都可以检测
摘要: 阅读全文
posted @ 2022-04-19 11:55 bonelee 阅读(58) 评论(0) 推荐(0) 编辑