上一页 1 ··· 41 42 43 44 45 46 47 48 49 ··· 269 下一页
2022年4月27日
如何通过修改注册表关闭、开启windows10内置Windows Defender安全中心 - SYSTEM\CurrentControlSet\Services注册表里的服务禁用下
摘要: 如何通过修改注册表关闭、开启windows10内置Windows Defender安全中心 方法一 1、win+R输入regedit,按回车键进入注册表编辑器。2、定位到计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Security 阅读全文
posted @ 2022-04-27 17:49 bonelee 阅读(1526) 评论(0) 推荐(0) 编辑
chm里的无文件攻击和检测思路
摘要: chm是Compiled HTML Help file的缩写,意为已编译的HTML帮助文件,当攻击者将恶意代码写入chm中,当用户点击就会执行预设的恶意命令。 chm命令执行示例 下载安装html help workshop,下载地址:https://www.helpandmanual.com/do 阅读全文
posted @ 2022-04-27 16:17 bonelee 阅读(160) 评论(0) 推荐(0) 编辑
通过恶意chm文件getshell
摘要: 通过恶意chm文件getshell _ 2021年6月18日 晚上 825 字 14 分钟 前言 chm是Compiled HTML Help file的缩写,意为已编译的HTML帮助文件,当攻击者将恶意代码写入chm中,当用户点击就会执行预设的恶意命令。 chm命令执行示例 下载安装html he 阅读全文
posted @ 2022-04-27 15:47 bonelee 阅读(120) 评论(0) 推荐(0) 编辑
hh.exe 打开chm文件的sysmon数据采集
摘要: hh.exe是微软windows系统程序,.chm扩展名的帮助文件默认是用hh.exe打开。如果用户此时并没有查看chm格式的电子书文件或帮助文件,hh.exe又在进程中反复出现,则可能中了hh.exe病毒。在正常情况下不建议用户对该类文件(hh.exe)进行随意的修改。它的存在对维护计算机系统的稳 阅读全文
posted @ 2022-04-27 15:20 bonelee 阅读(128) 评论(0) 推荐(0) 编辑
windows下通过net user add和powershell添加用户,sysmon仅仅采集到进程,而在windows安全日志可以看到账户添加信息
摘要: 执行操作: C:\Windows\system32>net user /add "jack" "fuckoff" 命令成功完成。 C:\Windows\system32>powershell Windows PowerShell 版权所有 (C) Microsoft Corporation。保留所有 阅读全文
posted @ 2022-04-27 14:35 bonelee 阅读(406) 评论(0) 推荐(0) 编辑
2022年4月26日
webshell后门中执行交互命令看到的sysmon数据采集和检测
摘要: 下载phpstudy,链接:https://public.xp.cn/upgrades/phpStudy_64.zip,如下图启动wnmp。 webshell内容: <?php echo "Your response is: ";?> <?php @eval($_GET['cmd']);?> 写入C 阅读全文
posted @ 2022-04-26 16:25 bonelee 阅读(169) 评论(0) 推荐(0) 编辑
2022年4月25日
DLL劫持——DLL sideloading 检测,4个检测点:同名DLL的覆盖(关键点),rundll32进程(关键点),cmd的父进程是rulldll32,rundll32出来一个tcp外联(有C2才算)!
摘要: https://flangvik.com/privesc/windows/bypass/2019/06/25/Sideload-like-your-an-APT.html 我是按照这个链接进行复现的,文章里使用的是notepad++,但是最新的notepad++已经没有了libcurl,所以我自己找 阅读全文
posted @ 2022-04-25 20:10 bonelee 阅读(333) 评论(0) 推荐(0) 编辑
2022年4月24日
针对高级持续威胁攻击的EDR评估——An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors,从攻击用例看,感觉这个评估叫APT攻击远远不够!!!内含crowdstrike内存扫描的做法,进程注入数据采集
摘要: https://www.mdpi.com/2624-800X/1/3/21/htm 软件翻译如下: 针对高级持续威胁攻击向量的端点检测和响应系统的实证评估 经过 乔治·卡兰查斯 1 和 康斯坦丁诺斯·帕萨基斯 1,2,* 1 比雷埃夫斯大学信息学系, 80 Karaoli & Dimitriou S 阅读全文
posted @ 2022-04-24 14:59 bonelee 阅读(977) 评论(0) 推荐(0) 编辑
DLL劫持——DLL sideloading 这玩意从EDR检测厂商看,就S1有防护能力
摘要: Sideloading DLL攻击 2021年9月4日06:38:12逆向工程评论111 views787字阅读2分37秒阅读模式 今天看到了国外的一个白皮书,地址如下: https://res.mdpi.com/d_attachment/jcp/jcp-01-00021/article_deplo 阅读全文
posted @ 2022-04-24 14:45 bonelee 阅读(852) 评论(0) 推荐(0) 编辑
微软kql检测——识别编码后的empire脚本
摘要: https://github.com/BlueTeamLabs/sentinel-attack/tree/master/detections ==》这个更全些 https://github.com/Azure/Azure-Sentinel/blob/83c6d8c7f65a5f209f39f3e06 阅读全文
posted @ 2022-04-24 11:05 bonelee 阅读(215) 评论(0) 推荐(0) 编辑
上一页 1 ··· 41 42 43 44 45 46 47 48 49 ··· 269 下一页