- 博客(377)
- 资源 (2)
- 收藏
- 关注
RSS订阅
原创 关于网络安全 >>> <<<渗透到进阶的一些经验分享(4/16更新)
网络安全是一条需要长期积累的实战之路。本文将从 Web 渗透测试出发,系统梳理到内网渗透、红队全链路、免杀技术,直至高级黑客能力的完整实战路径。无论你是刚入门还是已有一定基础,都可以按照这个路径一步步打磨技能,最终实现从“会打”到“能造”的质变。
2025-05-25 16:10:22
82675
原创 挂马漏洞之webshell-jsp 大马和小马给你学习学习(2025/7/21更新)
本文分析了JSP WebShell("大马"与"小马")的技术实现,重点解读了一个功能丰富的JSP大马代码结构,包含文件管理、数据库操作、端口扫描等核心模块。文章提出了安全性改进方案(密码保护、数据加密、会话管理),并展示了优化后的代码实现。同时提供了10个常见WebShell代码片段(命令执行、文件操作、数据库查询等)及其使用方法。特别强调:本文内容仅供学习研究Web安全技术使用,任何非法应用WebShell的行为均属违法。
2024-12-24 12:26:13
88815
原创 渗透测试之 通俗易懂让你搞明白如何做渗透测试【渗透测试之流程(步骤)】 什么是白帽子? 什么是黑帽子?什么又是黑客 这篇文章让你搞明白
很重要 很重要 的网络知识 什么7层 4层网络协议,IP,子掩饰码,DNS,路由器,CDN,HTTP HTTPS的区别,IP段,三次握手四次挥手,DHCP,TCP/IP 等等一些网络知识想要搞好安全领域的相关工作,网络知识绝对是一个大头。,也就是拿工具来玩玩,当然这也是大多数人对于黑客或者渗透测试人员的一种看法,当然这种开发我不否认,但是我认为用工具扫描的方式可取的前提是你要知道你所使用的漏扫工具的原理。也对黑客这个职业或者说这个工种很好奇,那么黑客到底是干什么的,是如何进行黑客的一个工作流程的了?
2024-05-29 15:59:47
113772
原创 免杀 ---> 到底什么是免杀=Loader + shellcode(已更新)
本文深入解析红队免杀技术的核心本质,指出免杀成功的关键在于Loader(加载器)与Shellcode(恶意代码)的协同配合。文章对比了两者的技术特点:Shellcode作为"弹头"主要依靠加密、混淆等静态隐蔽手段;而Loader作为"发射系统"则需对抗动态行为监控和内存检测,是免杀成败的决定性因素。通过技术维度对比表,详细剖析了二者的检测对抗点和实现方法,并以TartarusGate框架为例,给出了实战融合建议,强调高级免杀需要Loader与Shellcode的完美结
2026-04-13 17:14:34
379
原创 免杀手法 ---> 重写R3API 一些思路给你说说看
本文提出了一种绕过R3监控的隐蔽进程注入技术,通过直接调用NTDLL.DLL中的NativeAPI实现内存分配和线程创建。该技术采用动态加载方式获取NtAllocateVirtualMemory和NtCreateThreadEx函数地址,绕过对高层Windows API的监控。核心在于利用NtAllocateVirtualMemory分配可执行内存,并通过WriteProcessMemory写入Shellcode,最后用NtCreateThreadEx创建执行线程。相比传统注入方法,该技术具有更高的隐蔽性,
2026-04-08 20:22:31
509
原创 windows免杀核心 - ntdll.dll kernel.dll --->内核API 核心思想
摘要:Windows NT架构采用分层设计,用户态Win32 API仅负责参数校验和错误码转换,实际功能由内核态NT函数实现。系统调用流程包括:应用程序调用Win32 API→ntdll转发→syscall指令触发特权切换→内核分派执行NT函数→返回结果。这种设计确保安全性、兼容性和稳定性。在攻防对抗中,动态Syscall技术通过绕过用户态Hook直接调用系统服务,成为主流免杀手段,需处理SSN版本差异和调用约定等细节。
2026-04-08 20:05:44
267
原创 PE结构 ---> 9.RvaToFoa 内存状体到文件状态
PE文件解析中的RVA→FOA转换是处理磁盘文件与内存布局差异的核心技术。摘要要点: 核心矛盾:PE头中的数据结构地址均为RVA(内存视角),但实际操作需要FOA(文件偏移) 布局差异:磁盘文件紧凑对齐(FileAlignment),内存按节独立映射(SectionAlignment) 转换算法:通过节表建立映射关系,计算RVA所在节的对应文件偏移 实战意义:导入表等关键结构必须转换才能正确解析 记忆口诀:"RVA内存视角,FOA文件视角,转换函数是桥梁" 该转换是PE解析、逆向分析和安
2026-04-03 19:15:00
1296
原创 PE结构 --->8.PE对齐的概念 文件对齐VS磁盘对齐
PE文件对齐机制详解:磁盘文件对齐(0x200)和内存对齐(0x1000)是PE结构的关键概念。磁盘对齐基于512字节扇区大小优化存储效率,内存对齐则遵循4KB页管理单位确保安全访问。加载PE文件时,加载器会根据对齐规则进行内存映射和填充,可能导致"膨胀"现象。这种对齐机制直接影响PE分析技术:静态分析处理加密数据,而动态内存分析可获取解密后的数据,为反打包提供可能。理解对齐原理对PE文件分析和安全研究至关重要。
2026-04-03 17:45:00
1066
原创 PE结构 ---> 5.数据目录表 节区 节表
PE文件中,代码、数据、资源等内容被划分为不同的节,每个节都有IMAGE_SECTION_HEADER属性信息。掌握数据目录表,是深入 PE 解析、手动 LoadPE、IAT Hook 等技术的。IMAGE_SECTION_HEADER描述了文件中的位置和内存中的位置。但是我们现在是从文件中来的所以不应该是---> RVA(内存地址)。dos头->dos体->NT头[文件头 可选头]->区段表->区段。所以我们现在需要做的操作就是把RVA---> FOA(文件地址)资源表 (Resource Table)
2026-04-02 12:00:00
1032
原创 PE结构 ---> 7.磁盘状态与内存状态(系统加载[LoadPE]过程)
摘要:PE格式是Windows可执行文件标准格式,分为磁盘PE和内存PE两种形态。磁盘PE是存储在硬盘上的原始文件格式,使用512字节对齐;内存PE是加载到内存后的执行格式,采用4KB页对齐。系统加载过程(LoadPE)会自动完成从磁盘到内存的转换,包括重定位、导入表修复等操作。手动实现LoadPE可控制加载流程,改变执行上下文,具有一定隐藏能力,但最终仍在加载器进程空间运行。这种转换机制是PE文件执行的基础,也是实现免杀的技术原理之一。
2026-04-02 08:00:00
1055
原创 PE结构--->4.文件头与可选头 详解
PE文件结构解析摘要:标准文件头(IMAGE_FILE_HEADER)和可选头(IMAGE_OPTIONAL_HEADER)是PE文件的核心结构。文件头包含机器类型、节数量、时间戳等基本信息,其中SizeOfOptionalHeader字段用于定位节表起始位置。可选头则包含加载关键信息,如入口点RVA、镜像基址、内存/文件对齐值等,其DataDirectory数组存储导出表、导入表等重要目录位置。通过分析这两个头结构,可以确定文件是32位还是64位、EXE还是DLL,并获取加载所需的所有核心参数,为后续的P
2026-04-01 06:45:00
1068
原创 PE结构 ---> 3.什么是DOS头 DOS体 NT头 文件头 可选头
为什么要找PE头MZ-->就是因为还有个东西DOS体(DOS-Stub),而这个dos体是不固定的,所以整个PE结构的大小是不固定的,如果在DOS体中塞入一些东西,所以如果是固定指向那么PE头就找不见了。这个时候就拿到了PE头5045000 ----->找到了NT头---->也就是4550--->PE头的标志。为啥有DOS头和DOS体了是因为PE需要兼容16位的操作系统所以仔PE就保留了16位的PE头。: 影响程序的加载位置,随机基址(ASLR)机制会改变实际的加载地址,增加免杀的难度。
2026-04-01 05:45:00
1063
原创 汇编编程(x86_64)的思维之道
摘要: 汇编编程的核心挑战在于思维模式的转变——从高级语言的抽象逻辑转向底层硬件状态管理。高级语言开发者需摒弃变量、对象等概念,转而关注寄存器分配、数据流动和标志位变化。汇编思维要求:1)数据移动优先,减少内存访问;2)状态机思维,实时维护寄存器与标志位状态;3)资源敏感,优化稀缺的寄存器和指令周期。学习路径包括对照编译器输出、手写核心逻辑、深入调用约定及动态调试。最终目标并非取代高级语言,而是通过理解底层机制,写出更高效的代码并精准定位问题。汇编的“诚实性”使其成为穿透计算机本质的关键工具。 (150字)
2026-03-30 07:39:35
1068
原创 RadASM 汇编工具从下载汉化配置汇编运行 --->>>>环境详细说明
本文详细介绍了MASM32汇编开发环境的配置过程:1.安装MASM32SDK至根目录;2.下载汉化版RadASMIDE;3.配置MASM编译环境,重点设置MASM32路径(包括bin、include、lib等核心目录);4.创建MASM工程并导入汇编代码;5.测试运行生成EXE程序。文中特别强调了路径配置的正确性,并提供了完整的测试代码示例,确保开发环境能成功构建Windows汇编程序。
2026-03-27 19:00:00
1049
原创 内网---> DCSync(白银黄金提权)权限滥用
摘要:DCSync是Mimikatz中模拟域控制器复制行为的攻击技术,通过DRSGetNCChanges接口获取任意用户密码哈希。攻击者需具备DS-Replication-Get-Changes等特殊权限,这些权限通常授予域管理员等高权限组。该攻击可直接获取krbtgt等关键账户哈希,用于制作黄金票据实现持久化控制,并可通过ExtraSids扩展进行跨域攻击。防御建议包括严格审计ACL权限、监控RPC调用及定期轮转krbtgt密码。DCSync权限的暴露往往意味着域防御体系的全面崩溃。
2026-03-14 08:58:10
4022
原创 内网---> Owns权限滥用
摘要:Owns和WriteOwner是Active Directory中的高危权限,可导致域接管。Owns表示主体拥有AD对象的所有权,具有隐式最高权限;WriteOwner允许修改对象所有者,形成提权链。攻击者通过PowerView等工具,利用这些权限修改组所有权、添加恶意成员,最终获取域控权限。典型案例展示了从普通用户到域控的完整攻击路径,这种隐蔽的攻击方式常被蓝队忽略,是企业AD配置的常见安全风险。
2026-03-13 18:30:00
3843
原创 内网---> WriteDacl权限滥用
本文深入解析Active Directory中WriteDacl和MemberOf两大关键权限机制。WriteDacl作为最高危扩展权限,允许直接修改目标对象的DACL,实现完全控制(如添加FullControl或DCSync权限)。其底层原理涉及AD安全描述符结构,可通过PowerView等工具进行利用。MemberOf则是权限继承的核心机制,通过组成员关系实现权限传播,常作为攻击终点。文章详细阐述了二者的底层原理、渗透场景和利用步骤,并以StreamIO HTB案例展示实际攻击链路:从WriteDacl
2026-03-13 16:30:00
4012
原创 内网--->SHARE MODERATORS 组权限滥用
SHAREMODERATORS是BloodHound应用层内置的管理角色,负责控制共享查询和仪表板的可见性。它不属于AD安全组,不影响域权限,而是专门管理分析结果的传播边界。该角色可以创建、编辑、删除所有共享内容,实现间接信息隔离。对红队而言,可加速攻击路径共享;对蓝队则需严格控制权限分配,建立分级共享机制。与AD权限的本质区别在于:它控制"谁知道路径"而非"谁能走路径",是信息可见性的关键控制点。
2026-03-10 18:30:00
4125
原创 内网---> ReadGMSAPassword权限滥用
摘要: gMSA(组管理服务账户)是Windows Server 2012引入的特殊服务账户,由域控制器自动管理高复杂度密码。ReadGMSAPassword权限允许直接读取gMSA密码,在内网渗透中极度危险,攻击者可借此提权至关键服务账户(如SQL、域控)。利用方式包括PowerShell原生提取、DSInternals工具解析、Rubeus票据传递或BloodHound路径分析。防御建议包括严格限制权限、定期审计、启用LAPS隔离及监控密码读取事件。此权限滥用是域渗透中常见的高危攻击链环节。
2026-03-10 07:41:08
3749
原创 免杀----> 栈溢出混淆原理技术分析
本文深入解析了栈溢出攻击原理及其实现方式。文章首先阐述了栈溢出的基本概念,即数据超出栈缓冲区边界导致的内存覆盖现象。随后详细讲解了32位系统的栈帧结构,包括关键寄存器ESP、EBP和EIP的作用。在攻击原理部分,通过函数调用过程分析,揭示了如何通过覆盖返回地址劫持程序执行流。文中还提供了调用MessageBox的代码示例,并指出了其中存在的数组越界和参数设置问题。最后,介绍了现代操作系统防御栈溢出的安全机制,如ASLR和Stack Canary等。本文强调,理解栈溢出本质对掌握计算机安全基础至关重要,但实际
2026-03-04 18:00:21
3803
原创 高级红队人才你需要的技术以及全流程水平一篇文章说清楚
网络协议栈与域环境架构 详细步骤:1.掌握TCP/IP全栈、SMB/LDAP/Kerberos协议细节;操作系统内核与内存管理原理 详细步骤:1.深入学习Windows Internals与Linux Kernel源码;底层原理:Web免杀与Shellcode免杀通过特征破坏(静态签名、行为序列)、环境反制、注入伪装与内核破坏,实现内存级隐蔽执行,绕过WAF/AV/EDR全链路检测。编程与逆向工程能力 详细步骤:1.精通C/C++、Python、x86/x64汇编;步骤:1.CreateSection;
2026-03-02 19:15:00
3965
原创 内网---> CanPsRemote权限滥用
摘要:CanPsRemote是ActiveDirectory中的关键权限,允许用户远程执行PowerShell命令,在域渗透中常被用于横向移动和权限提升。该权限通过WinRM服务实现,依赖本地组成员身份(如RemoteManagementUsers)和Kerberos/NTLM认证。攻击者可利用此权限运行恶意脚本、转储凭据或维持持久访问,如通过BloodHound工具发现攻击路径后实施DCSync攻击。防御建议包括审计组成员、禁用非必要WinRM服务、监控事件日志(EventID91/92)及采用JEA限制
2026-02-24 10:05:18
7479
原创 PE结构 ----> 2.PE结构基础知识点汇总(与安全开发关联)
摘要:本文详细解析Windows PE文件结构及其安全应用。PE文件是Windows可执行程序的标准格式,包含DOS头、NT头、区段表和数据目录等核心组件。文章首先介绍PE文件的定义、历史背景及三种地址类型(VA/RVA/FOA),然后深入解析文件头结构、区段组织方式和对齐机制。特别关注PE在网络安全中的应用,包括恶意软件分析(通过导入表检测可疑API调用)、漏洞挖掘(检查缓冲区溢出风险)和逆向工程(脱壳反汇编)。提供了实用的工具链(010Editor/CFFExplorer等)和代码示例(RVA-FOA转
2026-02-17 14:18:13
858
原创 PE结构 ---> 1. 什么是PE 什么是PE结构 什么是windows可执行程序结构
Windows PE文件结构解析 PE(Portable Executable)是Windows平台可执行文件的标准格式,包括.exe、.dll等文件类型。PE文件由DOS头、PE签名、COFF头、可选头、节表和实际数据区组成,每个部分都有严格定义的结构。关键结构包括:DOS头中的e_lfanew指向PE签名;COFF头定义文件基本属性;可选头包含入口点、基址等关键信息;节表描述各节区属性。PE文件通过这种层次化结构,使Windows加载器能准确识别代码、数据和所需资源的位置,确保程序正确加载执行。相比Li
2026-02-12 18:30:00
7541
原创 PE结构--->6.区段与区段表区别
摘要: PE文件通过区段表(元数据表格)和区段(数据容器)实现模块化。区段表记录各段属性(如.text代码段的文件偏移0x400映射到内存0x1000),指导加载器正确映射;区段存储实际内容(代码、数据等)。若区段表损坏(如条目数篡改为0),程序无法加载。例如,HelloWorld.exe的.text段含机器码,.data段存字符串"HelloWorld",协作实现功能。DLL的.reloc段解决共享库内存重定位问题,确保跨进程地址兼容。(149字)
2026-02-09 18:54:51
7414
原创 Https与加密TLS\SSL的关系 相对于Http&&Https协议加固了哪些方面了
摘要:HTTPS通过SSL/TLS协议对HTTP进行加密,解决了窃听、篡改和冒充三大风险。它结合对称加密(高效加解密)和非对称加密(安全密钥交换)来确保通信安全。尽管HTTPS增强了防护,但仍面临中间人攻击(MITM)风险,攻击者可能伪造证书窃取数据。TLS1.3协议因其更高的安全性和性能被推荐使用。HTTPS通过加密传输、完整性保护、身份验证等措施,有效防止数据泄露、篡改和会话劫持等攻击。
2026-02-09 18:45:00
1028
原创 内网---> HasSession权限滥用
摘要: HasSession是BloodHound中反映域用户在目标主机存在活跃会话的关键边(Edge),常用于横向移动或凭证窃取。其原理基于Windows会话管理(如LSASS进程维护的RDP、SMB等会话),通过NetSessionEnum/NetWkstaUserEnum API或域控事件日志收集。渗透中,高权限用户会话在低权限主机可被窃取(如Mimikatz转储),而低权限用户会话在高价值主机(如域控)则可能成为横向跳板(结合ReadLAPSPassword提权)。典型案例(如的StreamI
2026-02-07 08:06:04
5036
原创 内网---> WriteOwner权限滥用
摘要:WriteOwner是Active Directory中允许修改对象所有者的关键权限,所有者可绕过DACL限制直接修改ACL。攻击者利用WriteOwner将目标对象(如高权限组)所有者改为自己,获得FullControl后实施提权(如添加用户到特权组)。展示了如何通过WriteOwner获取LAPS密码进而控制域。该技术隐蔽性强,常与ACL滥用结合形成完整攻击链。防御需严格审计WriteOwner分配、启用高级审计(EventID 5136)并采用分层权限模型。掌
2026-02-06 17:31:44
5398
原创 内网--->GenericWrite 权限滥用
摘要:GenericWrite权限是Active Directory中一种危险的通用写入权限,允许修改对象的非受保护属性,包括部分安全敏感字段。攻击者可利用该权限进行Kerberoasting攻击,通过写入伪造的SPN属性获取加密票据进行离线破解,且能不留痕迹地清理现场。该权限还可用于登录脚本劫持、社工攻击等扩展攻击。本质上,GenericWrite不是漏洞,而是权限分配不当导致的攻击面。防御需关注AD审计、权限最小化原则和属性修改监控。在AD环境中,写入权限往往比读取权限更具破坏性。
2026-02-06 08:21:55
5230
原创 内网---> ForceChangePassword 权限滥用
摘要: ForceChangePassword是Active Directory中的高危权限,允许持有者直接重置目标用户密码而无需旧密码验证。其底层机制通过LDAP写入unicodePwd属性实现,权限可能由GenericAll或ACL配置不当授予。红队渗透中,滥用此权限可快速提权,推荐使用PowerView的Set-DomainUserPassword工具,通过LDAP操作隐蔽重置密码,并利用新凭证横向移动。检测需关注EventID 4724和LDAP异常日志,防御建议包括最小权限原则和定期ACL审计。该
2026-02-05 20:28:20
6103
原创 内网---> GenericAll 权限滥用
摘要:GenericAll权限是Active Directory中对目标对象的完全控制权,允许修改属性、重置密码等操作。常见于误配置场景,如过度委托权限。攻击者可利用该权限进行目标化Kerberoast攻击,通过添加伪造SPN获取可破解的服务票据,或直接强制重置用户密码。防御建议包括定期审计ACL和使用最小权限原则,防止此类权限滥用导致域沦陷。
2026-02-05 11:20:34
7534
原创 从Web 到 域控 <----> 企业级内网渗透思路
从信任链视角全面剖析企业内网渗透的核心逻辑,强调现代红队攻击已从单一漏洞利用演变为系统性破坏多层信任关系,最终实现域控控制。
2026-02-01 17:26:10
12495
原创 最牛虻的手法DDOS攻击 原理以及手法超强汇总 让你透彻明白DDOS攻击
DDoS攻击是Distributed Denial of Service Attack(分布式拒绝服务攻击)的缩写。在介绍 DDoS 攻击前,首先要了解了一下 DoS 攻击(Denial of Service Atack)。DoS 表示信息技术中实际上应可用的因特网服务的不可用性,最常见的是数据网络拥塞。这可能是无意造成的,也可能是由于服务器或数据网络其他组件受到集中攻击而引起的。而分布式拒绝服务攻击是一种大规模的DoS攻击,攻击者使用多个IP地址或计算机对目标进行攻击。绝大部分的DDoS 攻击。
2026-01-31 08:46:39
12240
原创 DDOS 应急响应Linux防火墙 Iptable 使用方式方法
IPTables是Linux系统自带的防火墙工具,用于配置网络数据包的过滤规则(允许/拒绝特定流量)。功能示例:封禁恶意IP地址控制端口访问权限(如仅开放80/443端口)实现网络地址转换(NAT)
2026-01-31 00:00:00
12290
原创 洪水猛兽攻击 Ddos Dos cc Drdos floods区别
DRDoS(分布式反射拒绝服务攻击)是一种利用网络反射器(如DNS/NTP服务器)放大攻击流量的DDoS变种。攻击者伪造目标IP向反射器发送请求,反射器将放大后的响应流量导向目标,典型案例是2014年Cloudflare遭受的NTP放大攻击。相比传统DoS(单点攻击)、DDoS(僵尸网络攻击)和CC(应用层攻击),DRDoS通过反射机制实现流量放大,攻击效率更高且更隐蔽。这种攻击方式显著增加了防御难度,突显了网络安全策略需要针对性升级的重要性。(149字)
2026-01-30 19:00:00
11980
原创 DDoS 攻击工具与僵尸网络详解
DDoS 攻击工具和僵尸网络是网络安全的重要威胁。攻击者利用这些工具和技术,通过控制大量设备发起攻击,造成服务中断或数据泄露。了解其工作原理和手法有助于设计更好的防御措施。法律风险:DDoS 攻击和构建僵尸网络是非法的,可能面临刑事指控和巨额罚款。本文仅用于教育和研究目的,不鼓励任何非法行为。希望这份详尽的解答满足您的需求!如果需要进一步澄清,请随时告诉我。
2026-01-30 00:00:00
8237
原创 应急响应之 洪水 Floods attack ==== DDOS
基于前期对DDoS攻击事件的初步预判,后续我们还需要进一步了解现场环境,判断影响范围,研判事件发展情况,为正确处置、溯源分析、建立防护措施提供实际依据。若攻击持续存在,则可在出口设备配置黑洞等防护策略,或接入CDN防护,当遇到超大流量,超出出口带宽及防护设备能力时,则建议申请运营商清洗。(6)使用全流量监控设备(如天眼)对全网中存在的威胁进行监控分析,关注相关告警,并在第一时间反馈负责人员。(3)在允许投入的范围内,优化网络架构,保证系统的弹性和冗余,防止单点故障发生。
2026-01-29 00:00:00
8807
原创 WAF绕过之编码绕过特性篇
在安全渗透测试中,攻击者常常使用不同的编码方式来绕过安全防护措施,如Web应用程序的输入验证、过滤器、反病毒软件、入侵检测系统(IDS)等。编码可以使恶意载荷看起来像是合法的输入,从而绕过传统的安全防护。
2026-01-28 09:01:18
7829
原创 应急响应 > > > DDoS HTTP 应用层攻击研判溯源手法详解
研判要点优先提取TLS指纹与HTTP头时序特征僵尸节点通常呈现"蜂窝状"网络拓扑(中心C2+多级代理)溯源雷区避免直接扫描攻击者基础设施(可能触发反制)境外司法协作需通过INTERPOL红色通告渠道新型威胁近期出现基于QUIC协议的HTTP/3 DDoS攻击,传统基于TCP的检测方法失效,需升级至DPDK架构的流量分析系统。如需进一步分析攻击样本或部署防御方案,可建议用户开启【联网搜索】获取最新威胁情报数据。
2026-01-28 00:00:00
8530
原创 高阶免杀技术[汇总]一揽 --->
R3手法主要在Ring 3用户态执行,优势在于开发门槛低、部署灵活、风险可控,能通过伪装与混淆欺骗AI行为模型。R0手法深入Ring 0内核态,优势在于可直接断开EDR的根源监控(如内核回调、PPL保护),但需驱动加载,风险更高(BSOD、PatchGuard触发)。2026年趋势:纯R3高级组合已能绕过90%以上场景。技术栈互补性:R3负责入口伪装与payload执行,R0负责清理根源钩子,形成完整免杀链。实际价值:掌握此清单者在红队演练中上线成功率极高,可稳定对抗最新版火绒、360、卡巴斯基。
2026-01-15 19:00:00
10514
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人