EDR

在这篇文章中,我提供了两种VBA技术,用于伪造新进程的父进程和命令行参数。这种实现技术允许制作更隐蔽的Office宏,使宏生成的进程看起来像是由另一个程序(如explorer.exe)创建的,并具有正常的命令行参数。
在本文中,我们将与大家分享可能帮助红队绕过CylancePROTECT的一些方法,并且简要介绍一下CylanceOPTICS(能够提供基于规则检测的一种补充方案)。
在最近一次内部渗透过程中,我遇到了某款EDR(端点检测与响应)产品。这款产品可以保护lsass的内存空间,导致我无法使用Mmimikatz来导出明文凭据。