EDR对抗从入门到入狱之七: 反病毒扫描器的前世今生与YARA规则深度剖析
EDR对抗从入门到入狱之七: 反病毒扫描器的前世今生与YARA规则深度剖析前面几篇我们讲了内核级的监控机制(回调、Minifilter、ETW)。今天要讲的是更"古老"但依然强大的防御武器——反病毒
阅读全文EDR对抗从入门到入狱之六: Event Tracing for Windows
EDR对抗从入门到入狱之六: Event Tracing for Windows (ETW) 深度剖析前面我们聊了进程回调、HOOK、Minifilter等内核级的监控。今天要讲的是事件追踪(ETW
阅读全文EDR对抗从入门到入狱之五:网络过滤
EDR对抗从入门到入狱之五:网络过滤前面我们深入聊了进程创建、线程通知、镜像加载、KAPC注入,以及文件系统的微过滤。这些都是"端点"维度的防卫。但别忘了,攻击者最终要跟外界通信:要么下载后续的恶意
阅读全文EDR对抗从入门到入狱之四: 微过滤深度剖析与文件系统监控
EDR对抗从入门到入狱之四: 微过滤深度剖析与文件系统监控如果说前面的回调和HOOK是EDR在进程/线程/内核层的"眼线",那么**微过滤(Minifilter)**就是EDR在文件系统层的"关卡"
阅读全文EDR对抗从入门到入狱之三: Image Load 监控与注册表回调
EDR对抗从入门到入狱之三: Image Load 监控与注册表回调上次我们聊了进程创建和线程通知。这次要聊的是EDR防不住的"隐形装载"和"内核级掌控"——镜像加载通知、KAPC注入、注册表监控,
阅读全文EDR对抗从入门到入狱之二: 回调机制
EDR对抗从入门到入狱之二: 回调机制你的程序在Windows上一启动就被EDR(端点检测响应)工具逮住了?今天咱们就深入聊聊那些EDR是怎么工作的,以及聪明人是怎么逃脱它们的眼线的。第一章:对手是
阅读全文EDR对抗从入门到入狱: Hook原理与对抗
EDR对抗从入门到入狱: Hook对抗应对现代 EDR 的第一步,是理解函数挂钩(Function Hooking)在用户态的运行机制。本篇文章以“FUNCTION-HOOKING DLLS”目录为
阅读全文如何用“程序入口点”玩进程注入
如何用“程序入口点”玩进程注入Introduction进程注入是红队和对手常用的一招,用来绕过防御、拿更高权限,或者干点别的“有趣”的事。到我写这篇的时候,MITRE ATT&CK 里面和“远程”进
阅读全文Windows Bootkit 与 Rootkit 概述
Windows Bootkit 与 Rootkit 概述前言在网络安全的世界里,有一类恶意软件总是让安全专家们头疼不已,它们就像幽灵一样隐藏在系统的最深处,默默地监视着你的一举一动。今天我们要聊的主
阅读全文还在手搓免杀?时代变了
训练专家模型:全自动“培养”你自己的恶意软件原文链接:https://www.outflank.nl/blog/2025/08/07/training-specialist-models/这篇文章是
阅读全文Hijack Windows MareBackup 计划任务实现本地提权分析
Hijack Windows MareBackup 计划任务实现本地提权分析一、前言一个很有意思的提权以及权限维持的点:MareBackup。虽然这个任务表面看起来无害,但在某些特定条件下,低权限用
阅读全文红队研发:C2的心跳设计
红队研发:C2的心跳设计本文涉及到的技术,仅供红队研究学习C2中的心跳数据包一般可以认为就是携带了主机元数据信息(基础信息)的网络数据包,比如携带了当前IP,机器名,用户名等。如果你用c#等高级语言
阅读全文免杀:Win Defender特征定位辅助工具推荐
免杀:Win Defender特征定位辅助工具推荐GoCheck项目地址:https://github.com/gatariee/gocheck这个项目跟DefenderCheck那个项目原理差不多
阅读全文红队C2研发日记2:C2 Server端的认证实现
红队C2研发日记2:C2 Server端的认证实现这节来实现一下c2 中的server端代码,也就是TeamServer,这种基于c/s架构的,应该是目前主流的C2通信设计架构。Server端的话使
阅读全文用Avalonia UI构建远控界面
用AvaloniaUI构建远控界面用过c#开发的应该都知道WPF框架,这是微软官方提供,专用于windows平台的UI框架,用起来确实舒服,做出来的界面也很漂亮,上手难度也低,但是不能跨平台有时确实
阅读全文红队开发:利用Golang突破ja3检测
红队开发:利用Golang突破ja3检测关于什么是ja3以及ja3如何生成的等基础知识,可以自行谷歌学习,几个关键点:1. 可以理解为ja3就是tls的指纹。2. 同一平台下同客户端默认情况下,这个
阅读全文红队C2数据通信之TLV模型
红队C2数据通信之TLV模型TLV也即Type-length-value,这种一种具有固定格式的数据通信模型,简称为TLV,我们这里只讲讲在红队C2开发中的使用。格式每个TLV数据包结构大概如下图:
阅读全文如何设计一个CobaltStrike的Job管理机制
如何设计一个CobaltStrike的Job管理机制CobaltStrike的job管理机制,主要是提供给操作者,撤销一些类似耗时等不想继续运行的任务的能力。主要用在长时间的命令执行,大文件的下载等
阅读全文