上一页 1 ··· 45 46 47 48 49 50 51 52 53 ··· 274 下一页
2022年5月4日
基于脚本的攻击或可绕过微软的反恶意软件扫描接口(AMSI)
摘要: 写在前面的话 16年文章,原始出处:https://blog.csdn.net/SAKAISON/article/details/52637903 上个月,我在2016美国Black Hat黑客大会上讨论了一些关于微软反恶意软件扫描接口(AMSI)的内容。那场演讲和这篇文章中的内容是我对AMSI的一 阅读全文
posted @ 2022-05-04 18:29 bonelee 阅读(390) 评论(0) 推荐(0)
nishang工具用法详解——补充了hta无文件攻击的使用例子
摘要: PowerShell攻防进阶篇:nishang工具用法详解 嘶吼RoarTalk 网络安全观察者 导语:nishang,PowerShell下并肩Empire,Powersploit的神器。 开始之前,先放出个下载地址! 下载地址:samratashok/nishang 1.简介 Nishang是一 阅读全文
posted @ 2022-05-04 17:59 bonelee 阅读(1023) 评论(0) 推荐(0)
Heap Spray原理浅析——todo,待实践
摘要: Heap Spray原理浅析 Magictong 2012/03 摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、堆溢出 Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一 阅读全文
posted @ 2022-05-04 12:26 bonelee 阅读(220) 评论(0) 推荐(0)
nishang中的bypass模块,原来就是为了针对AMSI接口啊——AMSI专门是检测无文件攻击的,尤其是可以扫描一些string,看编码绕过后的真正执行内容是否恶意!
摘要: PS C:\Users\bonel\Desktop\nishang-master> Get-Help Bypass -fullnishang脚本,使用众所周知的方法绕过/避免AMSI。语法 调用AmsiBypass[[-Method]<String>[[-ShowOnly][<CommonParam 阅读全文
posted @ 2022-05-04 10:27 bonelee 阅读(168) 评论(0) 推荐(0)
2022年4月28日
MBR 无文件攻击 这两个mbr勒索病毒太凶残了 我虚拟机里运行 都让我宿主机出现了蓝屏!
摘要: 主引导记录 MBR是在BIOS完成硬件初始化后首次加载的磁盘部分。它是引导加载程序的位置。对启动驱动器具有原始访问权限的对手可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到对手代码。(引文:Lau 2011) 卷引导记录 MBR将引导过程的控制权传递给VBR。与MBR的情况类似,对启动 阅读全文
posted @ 2022-04-28 09:34 bonelee 阅读(1161) 评论(1) 推荐(0)
2022年4月27日
如何通过修改注册表关闭、开启windows10内置Windows Defender安全中心 - SYSTEM\CurrentControlSet\Services注册表里的服务禁用下
摘要: 如何通过修改注册表关闭、开启windows10内置Windows Defender安全中心 方法一 1、win+R输入regedit,按回车键进入注册表编辑器。2、定位到计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Security 阅读全文
posted @ 2022-04-27 17:49 bonelee 阅读(2273) 评论(0) 推荐(0)
chm里的无文件攻击和检测思路
摘要: chm是Compiled HTML Help file的缩写,意为已编译的HTML帮助文件,当攻击者将恶意代码写入chm中,当用户点击就会执行预设的恶意命令。 chm命令执行示例 下载安装html help workshop,下载地址:https://www.helpandmanual.com/do 阅读全文
posted @ 2022-04-27 16:17 bonelee 阅读(227) 评论(0) 推荐(0)
通过恶意chm文件getshell
摘要: 通过恶意chm文件getshell _ 2021年6月18日 晚上 825 字 14 分钟 前言 chm是Compiled HTML Help file的缩写,意为已编译的HTML帮助文件,当攻击者将恶意代码写入chm中,当用户点击就会执行预设的恶意命令。 chm命令执行示例 下载安装html he 阅读全文
posted @ 2022-04-27 15:47 bonelee 阅读(167) 评论(0) 推荐(0)
hh.exe 打开chm文件的sysmon数据采集
摘要: hh.exe是微软windows系统程序,.chm扩展名的帮助文件默认是用hh.exe打开。如果用户此时并没有查看chm格式的电子书文件或帮助文件,hh.exe又在进程中反复出现,则可能中了hh.exe病毒。在正常情况下不建议用户对该类文件(hh.exe)进行随意的修改。它的存在对维护计算机系统的稳 阅读全文
posted @ 2022-04-27 15:20 bonelee 阅读(170) 评论(0) 推荐(0)
windows下通过net user add和powershell添加用户,sysmon仅仅采集到进程,而在windows安全日志可以看到账户添加信息
摘要: 执行操作: C:\Windows\system32>net user /add "jack" "fuckoff" 命令成功完成。 C:\Windows\system32>powershell Windows PowerShell 版权所有 (C) Microsoft Corporation。保留所有 阅读全文
posted @ 2022-04-27 14:35 bonelee 阅读(470) 评论(0) 推荐(0)
上一页 1 ··· 45 46 47 48 49 50 51 52 53 ··· 274 下一页