EDR架构及部署: 硬件:终端大数据分析平台 软件:天擎客户端、天擎控制台 授权:威胁情报 EDR数据采集及处理流程: 行为影响:终端进程、文件操作、注册表修改、进程注入、账户变更、文件解压 边界传输:IM传输、浏览器传输、邮件附件、下载工具、U盘传输 网络请求:IP访问、DNS访问 EDR终端处置 ...
分类:
其他好文 时间:
2020-07-05 15:19:01
阅读次数:
512
这次在用Cobalt Stike是http beacon时,突然好奇反向shell是怎么做的,做了一些整理,比较杂,把网络、windows PE结构、进程注入都回顾了一下。 0、引子 Set-StrictMode -Version 2 $DoIt = @' function func_get_pro ...
分类:
Web程序 时间:
2020-04-28 15:18:46
阅读次数:
66
在别的程序注入dll 步骤: 1,获取目标进程ID,CreateToolhelp32Snapshot()函数; 2,获取目标进程句柄,OpenProcess()函数; 3,目标进程要一块内存,VirtualAllocEx()函数,不是VirtualAlloc()函数; 4,往要来的目标内存写入要注入 ...
注入 概述 DLL注入的初始动力源自于程序员对其他第三方应用程序进行功能扩展的愿望 注册表注入 ComRes注入 APC注入 消息钩子注入 远程线程注入 依赖可信进程注入 劫持进程创建注入 输入法注入 HOOK HOOK中文名钩子 HOOK的函数: 系统提供的消息HOOK机制 自定义HOOK编程技巧 ...
分类:
编程语言 时间:
2019-06-29 18:58:20
阅读次数:
133
原文:如何实现.net程序的进程注入 如何实现.net程序的进程注入 周银辉 进程注入比较常见,比如用IDE调试程序以及一些Spy程序,如果仅仅为了与调试器通讯,可以使用.net提供的Debugger接口(在EnvDTE.dll的EnvDTE命名空间下).但无论出于什么目的,进程注入都... ...
分类:
Web程序 时间:
2019-04-24 13:24:49
阅读次数:
179
简介 前面我们介绍到我们可以用进程注入的方法,借用其他应用的端口收发信息,从而达到穿墙的效果,那么今天介绍一种新的方法,叫做 端口复用 技术,他能够与其他应用绑定同一个端口,但同时进行端口复用的程序会接管之前程序的信息接受权,所以我们在复用端口后,要对非后门信息通过 127.0.0.1 本机回环地址 ...
分类:
其他好文 时间:
2018-08-24 21:50:49
阅读次数:
142
引子 上周末,一个好兄弟找我说一个很重要的目标shell丢了,这个shell之前是通过一个S2代码执行的漏洞拿到的,现在漏洞还在,不过web目录全部不可写,问我有没有办法搞个webshell继续做内网。正好我之前一直有个通过“进程注入”来实现内存webshell的想法,于是就趁这个机会以Java为例 ...
分类:
Web程序 时间:
2018-05-31 10:44:55
阅读次数:
235
之前介绍了Android平台上3种常见的hook方法,而hook的前提是进程注入,通过进程注入我们可以将模块或代码注入到目标进程中以便对其空间内的数据进行操作,本篇文章介绍基于ptrace函数的注入技术。 对ptrace函数不熟悉的朋友可以参考我之前写的linux ptrace I和linux pt ...
分类:
移动开发 时间:
2018-01-09 21:16:02
阅读次数:
272
绝对路径:是从盘符开始的路径,形如C:\windows\system32\cmd.exe相对路径:是从当前路径开始的路径,假如当前路径为C:\windows要描述上述路径,只需输入system32\cmd.exe实际上,严格的相对路径写法应为.\system32\cmd.exe其中,.表示当前路径, ...
分类:
数据库 时间:
2017-12-29 15:29:08
阅读次数:
208
Fraps为免费软件(wiki),通过Hook OpenGL或D3D来获取目标进程的FPS信息(32位进程注入fraps32.dll,64位注入fraps64.dll),并能进行截图和视频录制。 当前最新版本为3.5.99,最高支持D3D11。通过付费升级,除了截取BMP之外,可截取JPG, PNG ...
分类:
其他好文 时间:
2017-11-02 01:02:23
阅读次数:
298