Windows

cover

Win10下一个有意思的驱动引起可能性的拒绝服务攻击

这个曾经上报给微软的msrc，对方承认是个有待改进的问题的驱动，但是并非是个漏洞，至今已经过去了四个月了，可以到了公布的时间了，如果一个恶意进程已经攻击进入一个系统后，，并且已经有了管理员权限，他就可以利用这个驱动去控制安全软件的启动，甚至失效，这也是很危险的驱动。

浪子_三少
2021-04-08 10:30:57

76139次阅读

cover

揪出那些在Windows操作系统中注册的WFP函数

首先，minifilter有!fltkd.的命令，ndis有!ndiskd.的命令，但是WFP却没有类似的命令。

correy
2021-04-06 16:30:31

120944次阅读 1

cover

Windows渗透基础大全

[Microsoft Windows]是美国微软公司研发的一套操作系统，它问世于1985年，起初仅仅是DOS模拟环境，后续的系统版本由于微软不断的更新升级，不但易用，也慢慢的成为家家户户人们最喜爱的操作系统。

谢公子
2021-04-02 18:00:06

507835次阅读 1

cover

猫鼠游戏：Windows内核提权样本狩猎思路分享

随着Windows平台的几大主流浏览器(Chrome, Edge, IE)和文字处理软件(Office, Adobe Reader)相继引入沙箱机制，Windows内核提权漏洞的需求也随之上升。

安恒威胁情报中心
2021-03-25 14:30:11

232936次阅读

cover

从CPU到内核/到用户态全景分析异常分发机制——内核接管(番外篇)[2]

继前一篇《从CPU到内核/到用户态全景分析异常分发机制——硬件基础及Hook》讲完硬件部分的内容之后，现在来看看OS如何和CPU“相亲相爱”合谋完成这一伟大壮举的。

void *
2021-02-05 10:30:17

166957次阅读

cover

从CPU到内核/到用户态全景分析异常分发机制——内核接管[1]

继前一篇《从CPU到内核/到用户态全景分析异常分发机制——硬件基础及Hook》讲完硬件部分的内容之后，现在来看看OS如何和CPU“相亲相爱”合谋完成这一伟大壮举的。

void *
2021-02-04 10:30:32

176151次阅读

cover

CVE-2021-1648：Windows 10 splwow64权限提升分析

近日，作者分析了微软1月补丁日修复的一个漏洞CVE-2021-1648，这是一个可以在splwow64进程空间进行任意地址读写的漏洞。由于splwow64是一个普通权限的进程且splwow64在IE浏览器的白名单目录里，因此这个漏洞可以用于提权低权限的IE浏览器渲染引擎进程从而绕过IE浏览器的沙箱。这篇文章主要介绍一下splwow64的机制和CVE-2021-1648的成因。

天融信阿尔法实验室
2021-01-27 16:30:07

156755次阅读

cover

Windows域关系学习攻略

说明：本文仅在Windows Server 2016 R2上进行测试，不保证其他版本环境下结果一致。

Ms08067实验室
2021-01-26 17:30:21

121011次阅读

cover

从CVE-2020-1048到CVE-2020-17001：Windows打印机模块中多个提权漏洞分析

Windows 打印组件自 Win2000时代就被引入，作为一个”历史悠久”的组件其安全问题也一直广受安全研究人员关注。

奇安信代码卫士
2020-11-18 10:00:55

103846次阅读

cover

微软轻量级系统监控工具sysmon原理与实现完全分析——ProcessGuid的生成

Sysmon的众多事件看起来都是独立存在的，但是它们确实都是由每个进程的产生的，而关联这些信息的东西正是ProcessGuid，这个对进程是唯一的。

浪子_三少
2020-11-13 10:00:33

202119次阅读