2022年4月25日
DLL劫持——DLL sideloading 检测,4个检测点:同名DLL的覆盖(关键点),rundll32进程(关键点),cmd的父进程是rulldll32,rundll32出来一个tcp外联(有C2才算)!
摘要: https://flangvik.com/privesc/windows/bypass/2019/06/25/Sideload-like-your-an-APT.html 我是按照这个链接进行复现的,文章里使用的是notepad++,但是最新的notepad++已经没有了libcurl,所以我自己找 阅读全文
posted @ 2022-04-25 20:10 bonelee 阅读(371) 评论(0) 推荐(0) 编辑