鐵人檔案
驚!原來微軟給了駭客內建後門?
本系列將在30天內,帶領資安入門者深入探索Windows環境中Living off the Land Binaries And Scripts(LOLBAS)的強大功能與濫用場景。
每日聚焦一款系統原生工具,從概念解析、實作範例,到攻防情境再到偵測防禦,讓正在閱讀文章的你,能夠完整掌握利用certutil、mshta、regsvr32等工具發動滲透與建立防禦策略。
Msdt.exe 是用來執行疑難排解套件的工具,但在 2022 年的 Follina (CVE-2022-30190) 漏洞讓全世界見識到它的危險性。 MSDT...
Forfiles.exe 是 Windows 內建的批次檔案處理工具,原本用來根據檔案日期、名稱等條件批次處理檔案。但它有個強大的功能 - 可以對每個符合條件的...
Schtasks.exe 是 Windows 的排程任務管理工具,用來建立、修改、執行排定的工作。雖然這是正常的系統管理功能,但攻擊者也很喜歡用它來建立持續性機...
在 Windows 作業系統中,UAC 是一項用來防止未經授權的系統變更中重要的安全機制,但後來安全研究人員也發現了很多繞過 UAC 的技術,其中 eventv...
在 Windows 系統管理中,服務(Services)是系統核心功能的重要組成部分。sc.exe(Service Control)是 Windows 內建的服...
Netsh.exe 是 Windows 內建的網路設定命令列工具,原本是用來管理網路設定、防火牆規則等合法用途,但攻擊者可以透過註冊惡意 Helper DLL...
TPMTool.exe是Windows內建的可信平台模組管理工具。 攻擊者可以利用他的創建目錄結構和白名單信任的特性,把它作為攻擊鏈的關鍵元件。 今天我們就一起...
前言 Esentutl.exe是Windows內建的ESE資料庫工具,他的檔案複製功能可繞過檔案鎖定,所以也常常成為攻擊者竊取資料的好工具。 工具特性 路徑...
Sdclt.exe 是 Windows 內建的「備份與還原」功能的主要執行檔,位置放在 C:\Windows\System32,因為本身帶數位簽章,而且有 Au...
Bash.exe 是如果我們要用 WSL 的主要檔案, 在他為開發者帶來很多便利性的同時,也為攻擊者提供了更多元,更隱蔽的攻擊手法。 今天我們就一起來看看這個工...
