- 博客(366)
- 资源 (2)
- 收藏
- 关注
RSS订阅
原创 关于网络安全 >>> <<<渗透测试以及进阶写给想学想入行的小伙伴的一些思路
网络安全行业的发展前景与职业路径,从工业互联网、车联网等细分领域的技术需求,到职业稳定性与薪资对比,系统梳理从业人员转行难度与学习体系。重点解析Web渗透技能树与红蓝对抗实战,揭示从靶场到实战的进阶挑战,提供绕过防御、权限维持等核心技术方案,并推荐分阶段学习路线与资源导航,助力从业者实现技术突破与职业跃迁。
2025-05-25 16:10:22
80197
原创 挂马漏洞之webshell-jsp 大马和小马给你学习学习(2025/7/21更新)
本文分析了JSP WebShell("大马"与"小马")的技术实现,重点解读了一个功能丰富的JSP大马代码结构,包含文件管理、数据库操作、端口扫描等核心模块。文章提出了安全性改进方案(密码保护、数据加密、会话管理),并展示了优化后的代码实现。同时提供了10个常见WebShell代码片段(命令执行、文件操作、数据库查询等)及其使用方法。特别强调:本文内容仅供学习研究Web安全技术使用,任何非法应用WebShell的行为均属违法。
2024-12-24 12:26:13
87470
原创 渗透测试之 通俗易懂让你搞明白如何做渗透测试【渗透测试之流程(步骤)】 什么是白帽子? 什么是黑帽子?什么又是黑客 这篇文章让你搞明白
很重要 很重要 的网络知识 什么7层 4层网络协议,IP,子掩饰码,DNS,路由器,CDN,HTTP HTTPS的区别,IP段,三次握手四次挥手,DHCP,TCP/IP 等等一些网络知识想要搞好安全领域的相关工作,网络知识绝对是一个大头。,也就是拿工具来玩玩,当然这也是大多数人对于黑客或者渗透测试人员的一种看法,当然这种开发我不否认,但是我认为用工具扫描的方式可取的前提是你要知道你所使用的漏扫工具的原理。也对黑客这个职业或者说这个工种很好奇,那么黑客到底是干什么的,是如何进行黑客的一个工作流程的了?
2024-05-29 15:59:47
108834
原创 内网---> DCSync(白银黄金提权)权限滥用
摘要:DCSync是Mimikatz中模拟域控制器复制行为的攻击技术,通过DRSGetNCChanges接口获取任意用户密码哈希。攻击者需具备DS-Replication-Get-Changes等特殊权限,这些权限通常授予域管理员等高权限组。该攻击可直接获取krbtgt等关键账户哈希,用于制作黄金票据实现持久化控制,并可通过ExtraSids扩展进行跨域攻击。防御建议包括严格审计ACL权限、监控RPC调用及定期轮转krbtgt密码。DCSync权限的暴露往往意味着域防御体系的全面崩溃。
2026-03-14 08:58:10
1967
原创 内网---> Owns权限滥用
摘要:Owns和WriteOwner是Active Directory中的高危权限,可导致域接管。Owns表示主体拥有AD对象的所有权,具有隐式最高权限;WriteOwner允许修改对象所有者,形成提权链。攻击者通过PowerView等工具,利用这些权限修改组所有权、添加恶意成员,最终获取域控权限。典型案例展示了从普通用户到域控的完整攻击路径,这种隐蔽的攻击方式常被蓝队忽略,是企业AD配置的常见安全风险。
2026-03-13 18:30:00
1780
原创 内网---> WriteDacl权限滥用
本文深入解析Active Directory中WriteDacl和MemberOf两大关键权限机制。WriteDacl作为最高危扩展权限,允许直接修改目标对象的DACL,实现完全控制(如添加FullControl或DCSync权限)。其底层原理涉及AD安全描述符结构,可通过PowerView等工具进行利用。MemberOf则是权限继承的核心机制,通过组成员关系实现权限传播,常作为攻击终点。文章详细阐述了二者的底层原理、渗透场景和利用步骤,并以StreamIO HTB案例展示实际攻击链路:从WriteDacl
2026-03-13 16:30:00
1960
原创 内网--->SHARE MODERATORS 组权限滥用
SHAREMODERATORS是BloodHound应用层内置的管理角色,负责控制共享查询和仪表板的可见性。它不属于AD安全组,不影响域权限,而是专门管理分析结果的传播边界。该角色可以创建、编辑、删除所有共享内容,实现间接信息隔离。对红队而言,可加速攻击路径共享;对蓝队则需严格控制权限分配,建立分级共享机制。与AD权限的本质区别在于:它控制"谁知道路径"而非"谁能走路径",是信息可见性的关键控制点。
2026-03-10 18:30:00
2093
原创 内网---> ReadGMSAPassword权限滥用
摘要: gMSA(组管理服务账户)是Windows Server 2012引入的特殊服务账户,由域控制器自动管理高复杂度密码。ReadGMSAPassword权限允许直接读取gMSA密码,在内网渗透中极度危险,攻击者可借此提权至关键服务账户(如SQL、域控)。利用方式包括PowerShell原生提取、DSInternals工具解析、Rubeus票据传递或BloodHound路径分析。防御建议包括严格限制权限、定期审计、启用LAPS隔离及监控密码读取事件。此权限滥用是域渗透中常见的高危攻击链环节。
2026-03-10 07:41:08
1729
原创 免杀----> 栈溢出混淆原理技术分析
本文深入解析了栈溢出攻击原理及其实现方式。文章首先阐述了栈溢出的基本概念,即数据超出栈缓冲区边界导致的内存覆盖现象。随后详细讲解了32位系统的栈帧结构,包括关键寄存器ESP、EBP和EIP的作用。在攻击原理部分,通过函数调用过程分析,揭示了如何通过覆盖返回地址劫持程序执行流。文中还提供了调用MessageBox的代码示例,并指出了其中存在的数组越界和参数设置问题。最后,介绍了现代操作系统防御栈溢出的安全机制,如ASLR和Stack Canary等。本文强调,理解栈溢出本质对掌握计算机安全基础至关重要,但实际
2026-03-04 18:00:21
1787
原创 高级红队人才你需要的技术以及全流程水平一篇文章说清楚
网络协议栈与域环境架构 详细步骤:1.掌握TCP/IP全栈、SMB/LDAP/Kerberos协议细节;操作系统内核与内存管理原理 详细步骤:1.深入学习Windows Internals与Linux Kernel源码;底层原理:Web免杀与Shellcode免杀通过特征破坏(静态签名、行为序列)、环境反制、注入伪装与内核破坏,实现内存级隐蔽执行,绕过WAF/AV/EDR全链路检测。编程与逆向工程能力 详细步骤:1.精通C/C++、Python、x86/x64汇编;步骤:1.CreateSection;
2026-03-02 19:15:00
1935
原创 内网---> CanPsRemote权限滥用
摘要:CanPsRemote是ActiveDirectory中的关键权限,允许用户远程执行PowerShell命令,在域渗透中常被用于横向移动和权限提升。该权限通过WinRM服务实现,依赖本地组成员身份(如RemoteManagementUsers)和Kerberos/NTLM认证。攻击者可利用此权限运行恶意脚本、转储凭据或维持持久访问,如通过BloodHound工具发现攻击路径后实施DCSync攻击。防御建议包括审计组成员、禁用非必要WinRM服务、监控事件日志(EventID91/92)及采用JEA限制
2026-02-24 10:05:18
5133
原创 PE结构 ----> PE结构基础知识点汇总(与安全开发关联)
摘要:本文详细解析Windows PE文件结构及其安全应用。PE文件是Windows可执行程序的标准格式,包含DOS头、NT头、区段表和数据目录等核心组件。文章首先介绍PE文件的定义、历史背景及三种地址类型(VA/RVA/FOA),然后深入解析文件头结构、区段组织方式和对齐机制。特别关注PE在网络安全中的应用,包括恶意软件分析(通过导入表检测可疑API调用)、漏洞挖掘(检查缓冲区溢出风险)和逆向工程(脱壳反汇编)。提供了实用的工具链(010Editor/CFFExplorer等)和代码示例(RVA-FOA转
2026-02-17 14:18:13
781
原创 PE结构 ---> 什么是PE 什么是PE结构 什么是windows可执行程序结构
Windows PE文件结构解析 PE(Portable Executable)是Windows平台可执行文件的标准格式,包括.exe、.dll等文件类型。PE文件由DOS头、PE签名、COFF头、可选头、节表和实际数据区组成,每个部分都有严格定义的结构。关键结构包括:DOS头中的e_lfanew指向PE签名;COFF头定义文件基本属性;可选头包含入口点、基址等关键信息;节表描述各节区属性。PE文件通过这种层次化结构,使Windows加载器能准确识别代码、数据和所需资源的位置,确保程序正确加载执行。相比Li
2026-02-12 18:30:00
5104
原创 PE结构--->区段与区段表区别
摘要: PE文件通过区段表(元数据表格)和区段(数据容器)实现模块化。区段表记录各段属性(如.text代码段的文件偏移0x400映射到内存0x1000),指导加载器正确映射;区段存储实际内容(代码、数据等)。若区段表损坏(如条目数篡改为0),程序无法加载。例如,HelloWorld.exe的.text段含机器码,.data段存字符串"HelloWorld",协作实现功能。DLL的.reloc段解决共享库内存重定位问题,确保跨进程地址兼容。(149字)
2026-02-09 18:54:51
5100
原创 Https与加密TLS\SSL的关系 相对于Http&&Https协议加固了哪些方面了
摘要:HTTPS通过SSL/TLS协议对HTTP进行加密,解决了窃听、篡改和冒充三大风险。它结合对称加密(高效加解密)和非对称加密(安全密钥交换)来确保通信安全。尽管HTTPS增强了防护,但仍面临中间人攻击(MITM)风险,攻击者可能伪造证书窃取数据。TLS1.3协议因其更高的安全性和性能被推荐使用。HTTPS通过加密传输、完整性保护、身份验证等措施,有效防止数据泄露、篡改和会话劫持等攻击。
2026-02-09 18:45:00
1014
原创 内网---> HasSession权限滥用
摘要: HasSession是BloodHound中反映域用户在目标主机存在活跃会话的关键边(Edge),常用于横向移动或凭证窃取。其原理基于Windows会话管理(如LSASS进程维护的RDP、SMB等会话),通过NetSessionEnum/NetWkstaUserEnum API或域控事件日志收集。渗透中,高权限用户会话在低权限主机可被窃取(如Mimikatz转储),而低权限用户会话在高价值主机(如域控)则可能成为横向跳板(结合ReadLAPSPassword提权)。典型案例(如的StreamI
2026-02-07 08:06:04
5025
原创 内网---> WriteOwner权限滥用
摘要:WriteOwner是Active Directory中允许修改对象所有者的关键权限,所有者可绕过DACL限制直接修改ACL。攻击者利用WriteOwner将目标对象(如高权限组)所有者改为自己,获得FullControl后实施提权(如添加用户到特权组)。展示了如何通过WriteOwner获取LAPS密码进而控制域。该技术隐蔽性强,常与ACL滥用结合形成完整攻击链。防御需严格审计WriteOwner分配、启用高级审计(EventID 5136)并采用分层权限模型。掌
2026-02-06 17:31:44
5387
原创 内网--->GenericWrite 权限滥用
摘要:GenericWrite权限是Active Directory中一种危险的通用写入权限,允许修改对象的非受保护属性,包括部分安全敏感字段。攻击者可利用该权限进行Kerberoasting攻击,通过写入伪造的SPN属性获取加密票据进行离线破解,且能不留痕迹地清理现场。该权限还可用于登录脚本劫持、社工攻击等扩展攻击。本质上,GenericWrite不是漏洞,而是权限分配不当导致的攻击面。防御需关注AD审计、权限最小化原则和属性修改监控。在AD环境中,写入权限往往比读取权限更具破坏性。
2026-02-06 08:21:55
5214
原创 内网---> ForceChangePassword 权限滥用
摘要: ForceChangePassword是Active Directory中的高危权限,允许持有者直接重置目标用户密码而无需旧密码验证。其底层机制通过LDAP写入unicodePwd属性实现,权限可能由GenericAll或ACL配置不当授予。红队渗透中,滥用此权限可快速提权,推荐使用PowerView的Set-DomainUserPassword工具,通过LDAP操作隐蔽重置密码,并利用新凭证横向移动。检测需关注EventID 4724和LDAP异常日志,防御建议包括最小权限原则和定期ACL审计。该
2026-02-05 20:28:20
6094
原创 内网---> GenericAll 权限滥用
摘要:GenericAll权限是Active Directory中对目标对象的完全控制权,允许修改属性、重置密码等操作。常见于误配置场景,如过度委托权限。攻击者可利用该权限进行目标化Kerberoast攻击,通过添加伪造SPN获取可破解的服务票据,或直接强制重置用户密码。防御建议包括定期审计ACL和使用最小权限原则,防止此类权限滥用导致域沦陷。
2026-02-05 11:20:34
5215
原创 从Web 到 域控 <----> 企业级内网渗透思路
从信任链视角全面剖析企业内网渗透的核心逻辑,强调现代红队攻击已从单一漏洞利用演变为系统性破坏多层信任关系,最终实现域控控制。
2026-02-01 17:26:10
10152
原创 最牛虻的手法DDOS攻击 原理以及手法超强汇总 让你透彻明白DDOS攻击
DDoS攻击是Distributed Denial of Service Attack(分布式拒绝服务攻击)的缩写。在介绍 DDoS 攻击前,首先要了解了一下 DoS 攻击(Denial of Service Atack)。DoS 表示信息技术中实际上应可用的因特网服务的不可用性,最常见的是数据网络拥塞。这可能是无意造成的,也可能是由于服务器或数据网络其他组件受到集中攻击而引起的。而分布式拒绝服务攻击是一种大规模的DoS攻击,攻击者使用多个IP地址或计算机对目标进行攻击。绝大部分的DDoS 攻击。
2026-01-31 08:46:39
9859
原创 DDOS 应急响应Linux防火墙 Iptable 使用方式方法
IPTables是Linux系统自带的防火墙工具,用于配置网络数据包的过滤规则(允许/拒绝特定流量)。功能示例:封禁恶意IP地址控制端口访问权限(如仅开放80/443端口)实现网络地址转换(NAT)
2026-01-31 00:00:00
9973
原创 洪水猛兽攻击 Ddos Dos cc Drdos floods区别
DRDoS(分布式反射拒绝服务攻击)是一种利用网络反射器(如DNS/NTP服务器)放大攻击流量的DDoS变种。攻击者伪造目标IP向反射器发送请求,反射器将放大后的响应流量导向目标,典型案例是2014年Cloudflare遭受的NTP放大攻击。相比传统DoS(单点攻击)、DDoS(僵尸网络攻击)和CC(应用层攻击),DRDoS通过反射机制实现流量放大,攻击效率更高且更隐蔽。这种攻击方式显著增加了防御难度,突显了网络安全策略需要针对性升级的重要性。(149字)
2026-01-30 19:00:00
9695
原创 DDoS 攻击工具与僵尸网络详解
DDoS 攻击工具和僵尸网络是网络安全的重要威胁。攻击者利用这些工具和技术,通过控制大量设备发起攻击,造成服务中断或数据泄露。了解其工作原理和手法有助于设计更好的防御措施。法律风险:DDoS 攻击和构建僵尸网络是非法的,可能面临刑事指控和巨额罚款。本文仅用于教育和研究目的,不鼓励任何非法行为。希望这份详尽的解答满足您的需求!如果需要进一步澄清,请随时告诉我。
2026-01-30 00:00:00
8201
原创 应急响应之 洪水 Floods attack ==== DDOS
基于前期对DDoS攻击事件的初步预判,后续我们还需要进一步了解现场环境,判断影响范围,研判事件发展情况,为正确处置、溯源分析、建立防护措施提供实际依据。若攻击持续存在,则可在出口设备配置黑洞等防护策略,或接入CDN防护,当遇到超大流量,超出出口带宽及防护设备能力时,则建议申请运营商清洗。(6)使用全流量监控设备(如天眼)对全网中存在的威胁进行监控分析,关注相关告警,并在第一时间反馈负责人员。(3)在允许投入的范围内,优化网络架构,保证系统的弹性和冗余,防止单点故障发生。
2026-01-29 00:00:00
8793
原创 WAF绕过之编码绕过特性篇
在安全渗透测试中,攻击者常常使用不同的编码方式来绕过安全防护措施,如Web应用程序的输入验证、过滤器、反病毒软件、入侵检测系统(IDS)等。编码可以使恶意载荷看起来像是合法的输入,从而绕过传统的安全防护。
2026-01-28 09:01:18
7810
原创 应急响应 > > > DDoS HTTP 应用层攻击研判溯源手法详解
研判要点优先提取TLS指纹与HTTP头时序特征僵尸节点通常呈现"蜂窝状"网络拓扑(中心C2+多级代理)溯源雷区避免直接扫描攻击者基础设施(可能触发反制)境外司法协作需通过INTERPOL红色通告渠道新型威胁近期出现基于QUIC协议的HTTP/3 DDoS攻击,传统基于TCP的检测方法失效,需升级至DPDK架构的流量分析系统。如需进一步分析攻击样本或部署防御方案,可建议用户开启【联网搜索】获取最新威胁情报数据。
2026-01-28 00:00:00
8514
原创 高阶免杀技术[汇总]一揽 --->
R3手法主要在Ring 3用户态执行,优势在于开发门槛低、部署灵活、风险可控,能通过伪装与混淆欺骗AI行为模型。R0手法深入Ring 0内核态,优势在于可直接断开EDR的根源监控(如内核回调、PPL保护),但需驱动加载,风险更高(BSOD、PatchGuard触发)。2026年趋势:纯R3高级组合已能绕过90%以上场景。技术栈互补性:R3负责入口伪装与payload执行,R0负责清理根源钩子,形成完整免杀链。实际价值:掌握此清单者在红队演练中上线成功率极高,可稳定对抗最新版火绒、360、卡巴斯基。
2026-01-15 19:00:00
8241
原创 Windows系统调用API机制分析(内网免杀思路分析安全开发思路)
本文详细解析了Windows系统从用户态到内核态的调用流程,揭示了Win32API本质上是内核NativeAPI的封装层。文章首先阐述了Ring3到Ring0的完整调用路径,包括参数传递、系统调用触发和内核分派等关键环节。重点介绍了动态Syscall技术原理,通过获取系统调用号直接执行syscall指令,可绕过用户态Hook检测。文中提供了NtWriteVirtualMemory的具体实现案例,包括SSN提取、寄存器设置和汇编stub调用等核心代码。最后强调该技术在安全对抗中的实践价值,并建议结合高级变种技
2026-01-11 17:20:34
7792
原创 windows中经典线程注入手法(红队必会手法)
本文深度解析四种经典进程注入技术:1. 经典DLL注入 - 通过CreateRemoteThread+LoadLibrary强制加载恶意DLL 2. 反射式PE注入 - 手动映射完整PE镜像并处理重定位表 3. 进程空洞化 - 挂起目标进程后替换其内存映像 4. 线程劫持 - 修改现有线程上下文执行shellcode后恢复原流 核心特点对比: 技术 隐蔽性 复杂度 适用场景 DLL注入 低 简单 基础场景 PE注入 中 中等 灵活执行 进程镂空 高 复杂 进程伪装 线程劫持 极高 复杂 对抗EDR 所有技术
2025-12-31 18:44:36
11435
原创 深入聊聊DLL注入技术
摘要:反射式DLL注入技术分析 反射式DLL注入是一种隐蔽的无文件攻击技术,通过内存直接加载恶意DLL,避免磁盘落地。其核心是手动解析PE结构(DOS头、NT头、节表等),替代系统加载器完成内存映射、导入表修复和重定位。相比常规DLL注入(依赖LoadLibraryA),反射式注入通过ReflectiveLoader函数实现内存中DLL加载,显著降低EDR检测概率。MSF的Migrate模块利用此技术实现进程迁移,结合汇编Stub动态配置Payload。检测难点包括RWX内存特征、PE头扫描及哈希函数识别,
2025-12-30 10:23:16
11593
原创 免杀手法之(高阶)花指令混淆(1228更新)
本文介绍了花指令(Junk Code)的基本概念、类型及在ShellCode免杀中的应用。花指令通过插入无意义汇编指令(如NOP、MOV、JMP等)干扰反汇编工具和杀毒软件的静态/动态分析,破坏代码特征匹配和控制流图。文章解析了常见花指令类型及其底层原理,并提供了静态/动态分析场景下的具体应用方法,包括如何通过填充垃圾字节、无效跳转等手法实现ShellCode混淆。最后提及CS生成ShellCode的花指令免杀处理手法,但详细案例待后续补充。
2025-12-20 13:41:23
14600
原创 PE导出表三表EAT ENT EIT 三表逻辑解析
【PE导出表三表逻辑解析摘要】📚 核心机制: 1️⃣ 函数地址表(EAT)按序号存储函数地址 2️⃣ 名称表(ENT)按字母序存储函数名 3️⃣ 序号表(EIT)作为桥梁,建立名称与序号的映射关系 查找流程: 名称→ENT[index]→EIT[index]=序号→EAT[序号]=函数地址 ASCII示意图: ENT(名称)→EIT(序号)→EAT(地址) 通过序号实现高效映射,兼顾名称查找与地址存储效率
2025-12-11 16:50:21
15663
原创 Kerberos 资源约束性委派误配置下的 S4U2self → S4U2proxy → DCSync 提权高阶手法链
摘要:本文详解了利用Kerberos资源委派误配置(RBCD)实施的攻击链:S4U2self→S4U2proxy→DCSync。当RBCD配置不当,攻击者可控制账户冒充域管理员(S4U2self),获取访问域控制器服务的票据(S4U2proxy),最终执行DCSync复制域账户哈希。攻击链依赖Kerberos协议的委派机制缺陷,通过伪造票据实现权限提升。防护建议包括定期审计RBCD配置、实施最小权限原则及监控可疑票据请求。该攻击链可导致域完全沦陷,凸显AD环境配置安全的重要性。
2025-12-09 19:15:00
22532
原创 C&&汇编中的调用约定
调用约定是C语言与汇编交互的核心规范,定义了参数传递、栈清理、寄存器保存和返回值处理规则。x86架构主要包含cdecl(C默认)、stdcall(Win32API)和fastcall三种经典约定:cdecl支持变参函数由调用者清栈;stdcall由被调用者清栈;fastcall前两个参数走寄存器。x64时代分化为Microsoft(前4参数用RCX/RDX/R8/R9+影子空间)和SystemV(6参数寄存器+栈对齐)两种主流约定。关键差异包括参数传递方式、
2025-12-04 19:54:56
15655
原创 花指令之X86寄存器与指令的超级组合文章
本文系统总结了x86/x64架构的汇编指令和寄存器,按功能分类整理: 📌 指令部分: 数据传送指令(mov/lea/push等)实现数据复制与栈操作 算术运算指令(add/sub/mul等)处理数值计算与循环控制 逻辑/位运算指令(and/shl/rol等)完成位操作与加密 字符串指令(movs/scas等)高效处理内存块操作 控制转移指令(jmp/call/loop等)实现程序流程控制 标志操作指令(cli/pushf等)管理CPU状态标志 📌 寄存器部分: 通用寄存器(eax/rax/r8-r15)
2025-11-26 23:12:18
15672
原创 汇编之原始EBP与函数返回地址
本文深入解析了函数调用中的原始EBP和返回地址机制。原始EBP是调用者的栈帧基址,用于维护栈帧边界和恢复调用环境;返回地址是调用指令后的下一条指令地址,控制程序执行流。通过图书馆借书类比和32位x86汇编案例分析,阐述了它们在栈帧创建、函数调用及返回过程中的核心作用。文章还指出了常见误区,并提供了调试建议,强调这些概念对理解函数调用机制和栈溢出攻击原理的重要性。
2025-11-24 19:30:00
10928
原创 免杀手法-聊一个通用问题-进程伪装与防御手法
摘要:父进程伪装(PPID Spoofing)是一种通过修改进程的父进程标识来绕过安全检测的技术。它利用Windows API将恶意进程伪装成由可信系统进程(如lsass.exe)启动的子进程,从而欺骗杀毒软件和EDR系统。实现步骤包括获取目标进程PID、初始化扩展启动信息、创建伪装进程及注入Shellcode。该技术隐蔽性强但需较高权限,可通过ETW日志检测异常。案例显示其广泛应用于恶意软件和红队测试。防御需结合行为分析和权限管控。注意:本文内容仅限合法安全研究,严禁非法使用。
2025-11-24 07:15:00
10947
原创 免杀手法-Windows日志及其免杀相关技术手法1122更新
Windows日志绕过技术详解 Windows日志是操作系统内置的核心记录机制,用于监控系统行为和检测安全事件。攻击者常采用日志绕过技术来隐藏恶意行为,主要方法包括: 技术原理:通过终止EventLog服务线程阻止日志记录 实现步骤: 权限提升(SeDebugPrivilege) 服务管理(SCM)定位EventLog进程 线程操作终止特定日志线程 动态加载API降低检测风险 技术特点: 针对PEB/TEB结构精确操作 结合Shellcode执行恶意负载 实现webshell环境下的免杀效果 安全影响: 使
2025-11-17 07:30:00
11663
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人