【学习笔记】红队视角下的windows应急响应

最新推荐文章于 2024-10-27 00:44:07 发布
最新推荐文章于 2024-10-27 00:44:07 发布
阅读量601 收藏 8
点赞数 11
分类专栏: 系统安全 文章标签: 学习 笔记 windows 应急响应 进程 进程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43965597/article/details/136711806
版权
本文详细讲述了在IT环境中,如何通过360晶核的白加黑策略进行exe上线,遇到威胁时如何使用工具如TCPView、威胁情报API进行查杀和定位。同时,针对内网应急事件,讨论了EDR应对、源位置判断以及加固措施,包括webshell检测和网络跳板利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 上线的方法

  1. exe上线→开360晶核的情况比较困难

2)白加黑

接下来的讲解就是基于白加黑上线,看如何应对应急

2. 演示

360环境启动

在这里插入图片描述

shell whoami →死 -beacon

如何去查杀

看外联:

netstat -ano 提取IP

在这里插入图片描述

威胁情报api调用→查是否是恶意ip→根据恶意IP对应的pid去查找恶意文件

在这里插入图片描述

tcp view工具可以很好地用来定位外联→找恶意文件

该工具可以看远程地址端口等

通过看是否有远程外联来判断是否存在进程注入
在这里插入图片描述在这里插入图片描述有的时候找不到会断是因为心跳包的机制

最低0.47元/天 解锁文章
基于红队视角下的windows应急响应
xhtd240227的博客
03-17 894
windows应急响应、Linux应急和攻击流量研判这三个搞好 到蓝中就看各位积累了。
【无标题】win排查可以外联进程
weixin_45916010的博客
10-24 646
先cmd再这最后就好了
应急响应:系统入侵排查指南
qq_61553520的博客
06-14 4534
命令行输入 lastlog。
Windows 命令使用之 netstat 命令
一线大码
04-03 938
文章目录1. 简介2. 语法3. 参数 1. 简介 显示协议统计信息和当前 TCP/IP 网络连接。 2. 语法 netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p <proto>] [-q] [-r] [-s] [-t] [-x] [-y] [interval] 3. 参数 参数 描述 -a 显示所有连接和侦听端口。 -b 显示在创建每个连接或侦听端口时涉及的可执行文件。在某些情况下,已知可执行文件托管多个独立的组件,此时会显示创建连接或
Windows应急响应-入侵排查
weixin_52501704的博客
10-29 2375
应急响应
CobaltStirke BOF技术剖析(一)|BOF实现源码级分析
发果叁
08-04 907
对BOF(Beacon ObjectFile)的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部BeaconAPI调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。
RedTeam视角下的二进制攻防研究.pptx
10-15
红队视角下的二进制攻防研究】 在网络安全领域,"红蓝对抗"是一种模拟实战攻防演练的方式,旨在提升组织的安全防护能力。在这个过程中,"红队"扮演攻击者的角色,尝试寻找并利用系统漏洞,而"蓝队"则负责防御,...
RedTeam视角下的二进制攻防研究.pdf
10-15
除了传统的“响应”和“溯源”,红队视角的攻防研究还包括更广泛的任务,如漏洞样本分析、木马样本分析、威胁情报分析、漏洞挖掘和利用,以及远程控制系统的对抗技术。此外,攻防对抗工具的研发也是重要的技术提升...
自学(网络/信息安全)黑客——高效学习2024
fyukjasdb的博客
01-15 1446
我在这里可以很肯定地告诉你:"网络安全有很好的发展前景,前沿网络安全技术即将崛起,或者说已经崛起"。
安全见闻笔记
最新发布
weixin_74811095的博客
10-27 1407
本文全面探讨了网络安全的多个关键领域,包括渗透测试概念与实践、编程语言的选择、软件程序的安全性、网络基础、通讯协议的安全问题、硬件设备的网络安全、人工智能在网络安全中的应用、量子计算对网络安全的影响、二进制与网络安全的关系,以及网络安全热门证书的介绍和备考指南。文章强调了在不断演变的网络威胁面前,持续学习、实践和适应的重要性,以及通过专业认证提升个人技能的必要性。同时,文章也提醒读者在追求技术进步的同时,应保持谦逊和对知识无限性的认识,以促进个人成长和知识边界的扩展。
bof_templates:Windows x86缓冲区溢出模板
02-14
描述 OSCP的Windows x86缓冲区溢出模板 脚步 以管理员身份启动服务/应用并启动豁免 模糊输入确定溢出 使用msf-pattern_create -l <LEN>生成模式 获取EIP的十六进制值 使用msf-pattern_offset -l <LEN> -q <EIP>查找确切的偏移量msf-pattern_offset -l <LEN> -q <EIP> 计算缓冲区 查找不良字符(转储中遵循ESP) 使用!mona modules搜索内存保护设置为false且基地址中没有错误字符的!mona modules 如果不是全部为false,请使用!mona jmp -r esp并跳至步骤12 使用msf-nasm_shell JMP ESP (FFE4)确定指针的操作码 用!mona find -s "\xff\xe4" -m <MODULE>查找指针地址!mona fi
白加黑免杀-利用微信&QQ上线CS,轻松过某绒、某卫士、Defender
qq_62169455的博客
02-03 3198
通常在运行一个EXE文件的时候,会先加载支持该EXE文件运行的DLL(动态链接库)文件,那如果把其中一个DLL文件替换成恶意DLL,DLL里面注入一个后门文件, 当被攻击者双击执行程序时,就会加载恶意DLL,进而触发后门文件,最终达到控制对方主机的目的。替换DLL操作,也就是我们所说的“DLL劫持”,而“白+黑”里面的“白”则指的是EXE文件(带有数字签名),“黑”则指替换的恶意DLL。
20194307肖江宇exp-1
MYRLY的博客
03-17 3258
20194307肖江《网络对抗技术》 exp1 逆向与Bof基础
Windows应急响应笔记1
Rick66Ashley的博客
05-16 791
A输入用户密码,域控就生成凭证TGT(被秘密密钥加密,该密钥由tgt和tgs共用)以及会话密钥(只是用来验证通信双方,相当于战争时同一部队的口令),A收到TGT和会话密钥后,就可以向TGS请求服务票据,而服务票据也是加密的,由B的密钥加密,也就是说,必须由B计算机才能解密服务票据,解密完成后A和B就可以通信了。第三看看ssp注入,ssp(安全支持提供者),是dll文件,在登陆时启动lsass进程会调用到,但是lsass进程还可以调用其他自定义的dll,此时可以利用自定义dll获取lsass的明文密码。
Windows应急响应
热门推荐
土豆的博客
01-28 7万+
临近冬奥、残奥,发一篇Windows应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应
bof、eof属性(转载)
.net 学习专栏
12-13 1547
BOF 指示当前记录位置位于 Recordset 对象的第一个记录之前。EOF 指示当前记录位置位于 Recordset 对象的最后一个记录之后。 返回值BOF 和 EOF 属性返回布尔型值。说明使用 BOF 和 EOF 属性可确定 Recordset 对象是否包含记录,或者从一个记录移动到另一个记录时是否超出 R
网络对抗实验报告 | 逆向与Bof基础实验报告
cyuyan3hao的博客
03-26 1371
exp1 逆向与Bof基础实验报告 20192213刘子谦 1 实验要求概述 一句话,通过三种方法,在linux(kali)环境中,尝试隐藏的执行getshell函数,或者其他自定义代码段 2 实验方案 2.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90),实验中我们构造滑行区就是用的这个机器命令x90。 JNE:条件转移指令,如果不相等则跳转。(
白加黑加载方式_不吹不黑,小米11真机上手体验,这三点优势将领先“友商”一年...
weixin_30284931的博客
12-31 90
就在2020年最后这两天,小米已经率先为大家送上了新年礼物——小米11,它不仅是小米的新款数字旗舰代表,也是高通首款5nm芯片旗舰机代表。十分好奇的我第一时间拿到真机,就开始了上手体验,今天不吹不黑,聊聊真实感受,这三点优势的确是领先“友商”了一年。第一点,小米11采用的是6.81英寸四曲面挖孔屏设计,虽然没有惊艳的真全面屏,但屏占比效果明显还是比友商的双挖孔屏、刘海屏等要好很多。且它的机身重量控...
应急响应实战笔记
05-20 806
应急响应实战笔记 GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes GitBook 地址:https://bypass007.github.io/Emergency-Response-Notes/ 项目介绍 面对各种各样的安全事件,我们该怎么处理? 这是一个关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值