将者，智、信、仁、勇、严也。

摘要： 下载deb包： https://github.com/Sysinternals/SysinternalsEBPF/releases https://github.com/Sysinternals/SysmonForLinux/releases/tag/1.2.0.0 安装： 10 sudo dpkg 阅读全文

摘要： CS的进程注入： Mitre的进程注入检测： Cobalt Strike’s Process Injection: The Details Posted on August 21, 2019 by Raphael Mudge Cobalt Strike 3.14 finally delivered 阅读全文

摘要： Cobalt Strike进程注入——CreateRemoteThread案例复现和检测 内网两台机器，操作如下： 我使用的是powershell 反弹shell执行： 看到的sysmon数据采集 Network connection detected: RuleName: Alert,Metasp 阅读全文

摘要： 写在前面： CS反弹shell，如何检测？shell ipconfig。 ipconfig、whoami等父进程的父进程是powershell，如下是sysmon的数据采集： + System - Provider [ Name] Microsoft-Windows-Sysmon [ Guid] { 阅读全文

摘要： 进程注入检测 DLL注入检测的几种方式： 1、命令行，包含某些特定注入工具的关键字 2、排除白名单的可疑注入 3、可疑的DLL加载 4、特定工具注入的startaddress异常 以下内容来自CAR和splunk等开源检测渠道： title: CobaltStrike Process Injecti 阅读全文

摘要： 注入到记事本进程：codeinject.exe 8812 （管理员运行） codeinject代码： // CodeInjection.cpp // reversecore@gmail.com // http://www.reversecore.com #include "windows.h" #i 阅读全文

摘要： 准备： pip install frida pip install frida-tools 开始： 1、创建child-gating1.py import os import threading from frida_tools.application import Reactor import f 阅读全文

摘要： C语言编程测试sqlite3 编程环境搭建 运行C程序，需要先下载SQLite的源码：https://www.sqlite.org/download.html 我下载的是sqlite-amalgamation-3370000.zip 解压后是两个c文件和两个h文件： 注意，sqlite的源码全部被合 阅读全文

摘要： 到：https://download.quasar.ai/quasardb/3.9/3.9.9/server/ 下载最新版： https://download.quasar.ai/quasardb/3.9/3.9.9/server/qdb-3.9.9-windows-64bit-setup.exe 阅读全文

摘要： 导出表 一个可执行程序是由多个PE文件组成，这些PE文件依靠倒入表、导出表进行联系，导出表存储着PE文件提供给其他人使用的函数列表，导入表则存储着PE文件所需要用到的PE文件列表。从PE文件的角度去看，任何PE文件都可以有导入、导出表，从一般情况下来看，EXE文件不会提供导出表，也就是不会提供给他人 阅读全文