蓝队训练程序生成器 前言:红队不应该陷入琐碎的陷阱 郑重声明:本程序旨在为正规的RT同胞们提供便捷的帮助,严禁黑灰色产业利用和依靠免杀赚取流量、虚荣心等行为。一经发现将永不更新!!!根据蓝队对红队样本的狩猎过程,可以定位到以下几种特征: ETW 暴露可疑的 Windows API 调用,例如打开 LSASS 句柄、修改/读取远程进程内存 网络流量异常,数据包级别的特殊性 从 Office 宏中提取的可 2022-12-17 #bypass #红队
浅谈AMSI和Etw 首先什么是AMSI: 是一组 反恶意软件扫描接口 Windows API,允许任何应用程序与防病毒产品集成(假设该产品充当 AMSI 提供程序)。 与许多第三方 AV 解决方案一样,Windows Defender 自然地充当 AMSI 提供程序。AMSI 充当应用程序和 AV 引擎之间的桥梁,以 PowerShell 为例——当用户试图执行任何代码时,PowerShell 会在执行之前将其 2022-12-14 #bypass
手写超迷你shellcode加载 shellcode加载器最小可以达到多大呢?50kb?20kb?10kb?5kb?都不是,经过遐想仔细的研究学习发现,在不考虑免杀的情况下,cobaltstrike的x64 的shellcode加载可以达到1.4kb的大小。本文就来浅浅的品一下是如何将加载器压缩到这么小的。 首先我们都知道shellcode其实就是二进制,转换过来也就是机器码。我们所要做的就是创建3个PE标头,然后进 2022-12-13 #二进制学习 #bypass