powershell

本文主要介绍Powershell取证技术,如何从内存中恢复已经执行过的Powershell脚本。
先前我们只讨论了如何手动查找这类委派,大家可以阅读另一篇文章,了解其他一些工具在手动分析中的应用。在本文中,我们将介绍如何利用脚本,以(半)自动化的方式在网络中搜索这类委派。
微软在2015年中旬开始提出了针对无文件攻击和Powershell脚本攻击的检测缓解方案-AMSI。本文以Powershell行为日志审计为切入点, 展开介绍AMSI的功能,工作机制与现有绕过方法。
PowerShell的期望状态配置(Desired State Configuration,DSC)可以让我们使用WMI来直接执行资源。通过DSC WMI类,我们可以滥用内置的脚本资源来实现PowerShell代码的远程执行。
本文将介绍如何使用PowerShell脚本来绕过UAC,也就是说,我们将使用属于本地管理员的中级完整性级别(Medium Integrity)的进程来生成高级完整性级别(High Integrity)的进程。
我们本文介绍的方法,对于渗透测试的早期会更有用一些,因为AMSI(反恶意软件扫描接口)可能会对获取Shell的过程以及后期漏洞利用(Post-exploitation)阶段造成麻烦。
Emotet是2014年发现的一种银行木马,之后研究人员发现了大量的Emotet垃圾邮件活动,使用多种钓鱼方法诱使用户下载和加载恶意payload,主要使用恶意Word文档传播。
第一篇文章介绍了如何在系统事件日志中查找恶意的PowerShell脚本以及如何解码它们。在这篇文章中,我将讨论恶意PowerShell脚本可能隐藏的另一个位置——注册表。
作为一名站在网络安全防御端的研究人员,我需要不断地对各种安全监测框架进行测试和调整,然后再对重构的框架进行重新测试以确定安全防御思想是否正确。
在模拟攻击中,找到入手点往往是最复杂和最耗费时间的一项工作。通常,我们需要花费较多时间来针对不同操作系统、体系结构、终端检测与响应(EDR)方法、反病毒方案和沙箱解决方案来创建并测试Payload。