2023年7月17日
Cobalt Strike 快速入门——和MSF类似,但是操作更加无脑
摘要: 写在前面: CS反弹shell,如何检测?shell ipconfig。 ipconfig、whoami等父进程的父进程是powershell,如下是sysmon的数据采集: + System - Provider [ Name] Microsoft-Windows-Sysmon [ Guid] { 阅读全文
posted @ 2023-07-17 20:42 bonelee 阅读(696) 评论(0) 推荐(0)
进程注入检测——DLL注入检测的几种方式:1、命令行,包含某些特定注入工具的关键字 2、排除白名单的可疑注入 3、可疑的DLL加载 4、特定工具注入的startaddress异常
摘要: 进程注入检测 DLL注入检测的几种方式: 1、命令行,包含某些特定注入工具的关键字 2、排除白名单的可疑注入 3、可疑的DLL加载 4、特定工具注入的startaddress异常 以下内容来自CAR和splunk等开源检测渠道: title: CobaltStrike Process Injecti 阅读全文
posted @ 2023-07-17 11:41 bonelee 阅读(1563) 评论(0) 推荐(0)