注册表

作为应急响应和风险评估任务的一部分,FireEye顾问在对计算机网络进行取证分析时经常使用Windows注册表数据。这对于发现恶意活动和确定哪些数据可能被窃取很有帮助。
为了在没有注册的情况下加载和执行COM载荷,攻击者必须以一定的方式去影响COM注册表结构,其中一种方法就是使用COM劫持(COM Hijacking)技术。接下来我们重点介绍常见的一些COM劫持技术。
众所周知,在Windows操作系统中,在没有管理权限的情况下向用户帐户分配某些权限会导致本地权限提升攻击。我们发现了分配给普通用户的特权分配策略,我们能够利用这些策略来完全控制一个系统。
第一篇文章介绍了如何在系统事件日志中查找恶意的PowerShell脚本以及如何解码它们。在这篇文章中,我将讨论恶意PowerShell脚本可能隐藏的另一个位置——注册表。
UAC是windows用于阻止对于系统未授权的更改而引入的一项特性,本篇文章将展现攻击者如何静默的绕过UAC的限制实现提权。