ELK

此前我阅读了CyberWarDog的威胁主动出击文章,并且还偶然发现并仔细阅读了他的“寻找内存中的Mimikatz”系列文章。其中用于构建签名的方法似乎非常简单,并且在对恶意工具的分析过程中已经解决了寻找入口的障碍。