摘要:
vs里x64编译如下代码: #include <iostream> #include <Windows.h> // #include "common.h" int main() { // msfvenom -p windows/x64/exec CMD=notepad.exe -f c unsign 阅读全文
摘要:
EDR 通过CreateService创建服务分析——底层rpc调用系统接口操作注册表,还是要进行OS API的采集,性价比最高 先说下注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services的作用是什么? 注册表HKEY_LOCAL_MACHI 阅读全文
摘要:
下载LiveKd和windbg,其中livekd运行时候,设置下symbols目录: LiveKd v5.63 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-20 阅读全文
摘要:
下载deb包: https://github.com/Sysinternals/SysinternalsEBPF/releases https://github.com/Sysinternals/SysmonForLinux/releases/tag/1.2.0.0 安装: 10 sudo dpkg 阅读全文
摘要:
CS的进程注入: Mitre的进程注入检测: Cobalt Strike’s Process Injection: The Details Posted on August 21, 2019 by Raphael Mudge Cobalt Strike 3.14 finally delivered 阅读全文
摘要:
Cobalt Strike进程注入——CreateRemoteThread案例复现和检测 内网两台机器,操作如下: 我使用的是powershell 反弹shell执行: 看到的sysmon数据采集 Network connection detected: RuleName: Alert,Metasp 阅读全文
摘要:
写在前面: CS反弹shell,如何检测?shell ipconfig。 ipconfig、whoami等父进程的父进程是powershell,如下是sysmon的数据采集: + System - Provider [ Name] Microsoft-Windows-Sysmon [ Guid] { 阅读全文
摘要:
进程注入检测 DLL注入检测的几种方式: 1、命令行,包含某些特定注入工具的关键字 2、排除白名单的可疑注入 3、可疑的DLL加载 4、特定工具注入的startaddress异常 以下内容来自CAR和splunk等开源检测渠道: title: CobaltStrike Process Injecti 阅读全文
摘要:
注入到记事本进程:codeinject.exe 8812 (管理员运行) codeinject代码: // CodeInjection.cpp // reversecore@gmail.com // http://www.reversecore.com #include "windows.h" #i 阅读全文
摘要:
准备: pip install frida pip install frida-tools 开始: 1、创建child-gating1.py import os import threading from frida_tools.application import Reactor import f 阅读全文