什么是卷影拷贝？从Windows XP SP2和Windows Server 2013开始，微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务（Volume Shadow Copy Service-VSS）。这种服务允许Windows系统以自动或手动的方式对文件或磁盘卷宗的...

近期，有安全人员发现了一种DynamicData Exchange (DDE)协议绕过MSWord和MSExcel宏限制，不需使用MSWord和MSExcel漏洞，就能实现在Office文档中执行恶意

在powershell中最常使用的编码就是base64编码了，今天主要说一下Invoke-Obfuscation 这个powershell混淆编码框架，这也是著名的组织APT32 （海莲花）经常使用的

写在前面的话近期，我一直在我客户的网络环境中分析PowerShell攻击，根据我的分析以及研究结果，我发现了几种方法来帮助研究人员检测潜在的PowerShell攻击。这种方法主要利用的是Windows的事件日志，首先我们需要了解攻击者...

今天给大家介绍的是一个名叫Invoke-PSImage的Power Shell脚本，而这个脚本可以将目标PS脚本嵌入到一个PNG图片文件的像素点中，并允许我们使用一行指令来执行该脚本。Invoke-...

用户开机后每次运行特定的快捷方式文件时触发一段恶意的powershell 代码，原始应用程序仍然启动，原始图标保留，并且没有powershell.exe窗口弹出。1、安装后门这次需要用到power...

前言在Freebuf上许多同学已经对HID攻击谈了自己的看法，如维克斯同学的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们详尽的描述了BadUSB制作的相关过程，lpcdma同学的《使用arduino进行渗透测试》则...

思科Talos安全团队最近发现一款Powershell恶意程序，用DNS进行双向通信。前言DNS是企业网络中最常用的Internet应用层协议。DNS提供域名解析，这样用户就可以通过域名而非IP地址来访问网络资源。许多企业会严格监控web流...

几年前，作为一名开发人员，你需要的就是编辑器、编译器，以及某种版本控制系统。（可悲的是，许多开发人员目前仍然不能正确地使用版本控制系统）现在，即使是要做基本的软件开发工作，你也需要知道地更多。下面是每个现代开发人员应...

简介PowerShellArsenal是一个PowerShell模块，它的功能是帮助逆向工程师来分析.NET恶意软件，PowerShellArsenal的功能非常强大，它可以反汇编.NET恶意软件、分析和抓取内存、解析文件格式和内存结构，获取内部系统信息等。Di...