Windows

2018年,挖矿木马已经成为Windows服务器遭遇的最严重的安全威胁之一。2019年,挖矿木马攻击将继续保持平稳,但黑产家族间的合作将更加普遍,“闷声发大财”可能是新一年挖矿木马的主要目标。
在我们真正开始修改GPO之前,我们需要尝试理解一些关于它们是如何在GPMC和AD中正常更新的复杂问题。因为请相信我,事情并没有看上去那么简单。
作为应急响应和风险评估任务的一部分,FireEye顾问在对计算机网络进行取证分析时经常使用Windows注册表数据。这对于发现恶意活动和确定哪些数据可能被窃取很有帮助。
Andy Robbins介绍了GPO如何执行,如何使用BloodHound找到基于GPO控制的攻击路径,并解释了执行这些攻击的几种方法。本系列文章的目的是演示如何枚举这些滥用机会,并将其用于权限提升和实现持久化。
上一篇文章主要介绍了windows内核中UAF漏洞的利用方式,这次的主题是池溢出漏洞。仍然是通过HEVD这个项目来了解该内核漏洞的原理以及利用方式。
LAPS(本地管理员密码解决方案)是用来管理域内主机本地管理员密码的一款工具。LAPS会将密码/凭据存放在活动目录中与计算机对应的对象的一个机密属性(confidential attribute)中。
最近我需要写一个内核模式驱动,与我之前写过的代码一样,这个驱动也存在几个主要的bug,会导致一些有趣的副作用。进一步分析后,我开始研究Windows内核宿主扩展机制。
Windows事件跟踪(Event Tracing for Windows,ETW)是Windows用于跟踪和记录系统事件的机制。这篇文章的目的是与社区分享ETW背景和基础知识、事件日志篡改技术和检测策略。
最近对Windows10内核提权比较感兴趣,继续研究一下v1709版本。
之前,我们曾讨论过在Win10 v1511、v1607下的内核提权,本文则针对新的版本v1703研究新的提权方案。