会员
周边
众包
新闻
博问
闪存
赞助商
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
蚁景科技
专注网安人才实战技能培养
博客园
首页
管理
2022年4月21日
红队技术-父进程伪装( MITRE ATT&CK框架:T1134)
摘要: 父PID(PPID)欺骗方法可以绕过 AV/EDR检测,使其认为是 lsass.exe 这样的合法进程在进行活动。它通过欺骗进程的 PID 以匹配其父进程的 PID 来做到这一点。这种方法可能带来的另一个好处是,如果父进程以 SYSTEM 权限运行,则可以凭借访问令牌的继承,使其子进程也具有相同的 SYSTEM 权限。
阅读全文
posted @ 2022-04-21 13:53 蚁景网安实验室
阅读(243)
评论(0)
推荐(0)
编辑
公告