手动信息收集常用命令123456789101112131415161718192021222324252627282930313233# 查看当前用户属于哪个组whoami /groups# 获取本地用户Get-LocalUser# 获取本地组Get-LocalGroup# 获取指定组内的成员Get-LocalGroupMember adminteam# 获...

信息收集系统信息收集12345678910111213141516171819202122232425#Linux版本cat /etc/issuecat /etc/*-releasecat /etc/lsb-release # Debian basedcat /etc/redhat-release # Redhat based#内核版本cat ...

使用Windows自带命令进行信息收集查询域内的用户 1net user /domain 查询某个用户在域内的所属用户组和权限 1net user jeffadmin /domain 查询域内的所有组 1net group /domain 查询域内某个组的所有成员 1net group "Sales Department" /dom...

通过恶意程序窃取VeraCrypt软件的用户登录口令 整体架构如下 123VCpersist: 包含VCmigrate和VCsniff，会在用户登录时运行。运行时会把VCmigrate（32位dll携带VCsniff的64位payload）注入到OneDrive.exeVCmigrate会监控用户是否执行VeraCrypt.exe，如果执行，则执行VCsni...

Reflective Loader最初的目的是为了实现从内存中加载dll文件，而不需要从磁盘上读取dll文件 反射型dll是结构特殊的dll文件，包含自己的PE loader，这个loader作为一个导出函数ReflectiveLoader() ,当这个方法被调用时，会开始解析其所需要的导入函数（kernel32.dll等），然后申请在进程空间一段内存，然后...

PE文件格式pics/binary/pe101/pe101.png at master · corkami/pics · GitHub .text段：代码 .rdata：只读代码 .data：全局变量等 .pdata: .rsrc: 可以是各种资源文件 .reloc: 重定位，用于加载文件到内存 windows cmd...

将shellcode注入远程进程的几种方法 Thread Context InjectionThread Context 是有关线程的一系列数据，这些数据包括了内存分配信息、堆栈信息、寄存器信息等等 流程如下 1234567假设远程进程Explorer.exe中有线程ThreadX1.在Dropper.exe中FindThread找到线程ThreadX2.一...

当开发者需要在程序中扩展或者新增功能时，但是没有源码，在API Hooking的条件下，可以不知道源码而去修改程序执行流 Detours HookingDetours，是一个用于在 x86 机器上检测任意 Win32 函数的库，Detours 通过重写目标函数映像来拦截 Win32 函数，Detours 包还包含用于将任意 DLL 和数据段（payload）...

导出表一个loader怎么找到DLL文件的导出函数的地址呢？ 首先定位dll文件的PE文件结构，然后找到导出表的位置 12345678910111213typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 不重要 DWORD TimeDateS...

先看一段代码 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980#include <windows.h...