摘要： 一、注册一个ETW 1.使用EventRegister注册一个ETW，使用EventWrite写入事件 Writing Manifest-based Events // WritingManifestbasedEvents.cpp : Defines the entry point for the 阅读全文

摘要： 一、背景 分析暗云4样本, 参考火绒对暗云4的分析, 对暗云4的MBR相关操作进行分析, 本篇着重查看暗云4在SATA磁盘上对磁盘上MBR的0-3F扇区的Hook隐藏。 二、暗云4的MBR隐藏 使用工具BOOTICE，查看运行样本前后的第一磁盘扇区，发现运行样本后，第一扇区被改写了，但是重启后第一扇 阅读全文

摘要： mimikatz地址：https://github.com/gentilkiwi/mimikatz 参考： 内网横向移动：Kerberos认证与(哈希)票据传递攻击 从mimikatz学Windows本地hash抓取 目录: 1.PTH privilege::debug sekurlsa::logo 阅读全文