应用白名单绕过 on 办公AI智能小助手 https://blog.qife122.com/tags/%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95%E7%BB%95%E8%BF%87/ Recent content in 应用白名单绕过 on 办公AI智能小助手 Hugo zh-cn qife Sat, 20 Sep 2025 05:47:47 +0800 深入挖掘易受攻击的Windows服务:权限提升与绕过应用白名单 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E6%8C%96%E6%8E%98%E6%98%93%E5%8F%97%E6%94%BB%E5%87%BB%E7%9A%84windows%E6%9C%8D%E5%8A%A1%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E4%B8%8E%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95/ Sat, 20 Sep 2025 05:47:47 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E6%8C%96%E6%8E%98%E6%98%93%E5%8F%97%E6%94%BB%E5%87%BB%E7%9A%84windows%E6%9C%8D%E5%8A%A1%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E4%B8%8E%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95/ <h1 id="深入挖掘易受攻击的windows服务">深入挖掘易受攻击的Windows服务</h1> <p>Brian Fehrman //</p> <p>权限提升是威胁行为者在入侵系统后的常见目标。拥有提升的权限可以实现诸如提取本地密码哈希、从内存中转储明文凭据以及在系统上安装持久后门等任务。配置不安全的Windows服务可能是权限提升的一种途径。Windows服务通常在特权用户的上下文中运行。如果您能让服务运行您的恶意程序,您的程序很可能会以提升的权限运行。本博客文章讨论了在尝试利用Windows服务时可能出现的两个障碍。</p> 绕过应用白名单与杀毒软件的技术解析 https://blog.qife122.com/p/%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95%E4%B8%8E%E6%9D%80%E6%AF%92%E8%BD%AF%E4%BB%B6%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Fri, 19 Sep 2025 09:11:23 +0800 https://blog.qife122.com/p/%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95%E4%B8%8E%E6%9D%80%E6%AF%92%E8%BD%AF%E4%BB%B6%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="如何绕过应用白名单与杀毒软件">如何绕过应用白名单与杀毒软件</h1> <p>Brian Fehrman //</p> <p>已发布多种绕过杀毒软件的方法,因此许多公司开始意识到应用白名单是另一个值得加入其安全工具库的工具。应用白名单的优势在于无需不断更新基于行为或签名的检测算法;你明确告诉它哪些程序可以运行。在此,我们将展示一种绕过某些应用白名单产品的方法。</p> 绕过PowerShell限制的简化方法 https://blog.qife122.com/p/%E7%BB%95%E8%BF%87powershell%E9%99%90%E5%88%B6%E7%9A%84%E7%AE%80%E5%8C%96%E6%96%B9%E6%B3%95/ Thu, 18 Sep 2025 05:41:25 +0800 https://blog.qife122.com/p/%E7%BB%95%E8%BF%87powershell%E9%99%90%E5%88%B6%E7%9A%84%E7%AE%80%E5%8C%96%E6%96%B9%E6%B3%95/ <h1 id="powershell-wo-powershell-简化版">PowerShell w/o PowerShell 简化版</h1> <p>在之前的文章《无PowerShell的PowerShell》中,我们展示了如何绕过应用白名单软件(AWS)、PowerShell限制/监控以及命令提示符限制。在某些情况下,您可能不需要全部功能;可能只需要一种方法来绕过PowerShell限制和/或监控。本文为上述场景提供了一个简单的解决方案。这种方法并不新颖,但本文试图以简明直接的方式呈现。</p> 深入挖掘易受攻击的Windows服务:权限提升与绕过应用白名单 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E6%8C%96%E6%8E%98%E6%98%93%E5%8F%97%E6%94%BB%E5%87%BB%E7%9A%84windows%E6%9C%8D%E5%8A%A1%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E4%B8%8E%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95/ Thu, 18 Sep 2025 03:16:16 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E6%8C%96%E6%8E%98%E6%98%93%E5%8F%97%E6%94%BB%E5%87%BB%E7%9A%84windows%E6%9C%8D%E5%8A%A1%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E4%B8%8E%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95/ <h1 id="深入挖掘易受攻击的windows服务">深入挖掘易受攻击的Windows服务</h1> <p>Brian Fehrman //</p> <p>权限提升是威胁行为者在入侵系统后的常见目标。拥有提升的权限可以实现诸如提取本地密码哈希、从内存中转储明文凭据以及在系统上安装持久后门等任务。配置不安全的Windows服务可能是权限提升的一种途径。Windows服务通常在高权限用户上下文中运行。如果您能让服务运行您的恶意程序,您的程序很可能会以提升的权限运行。本文讨论了在尝试利用Windows服务时可能出现的两个障碍。</p> 深入挖掘易受攻击的Windows服务:权限提升与绕过应用白名单 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E6%8C%96%E6%8E%98%E6%98%93%E5%8F%97%E6%94%BB%E5%87%BB%E7%9A%84windows%E6%9C%8D%E5%8A%A1%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E4%B8%8E%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95/ Mon, 08 Sep 2025 02:36:20 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E6%8C%96%E6%8E%98%E6%98%93%E5%8F%97%E6%94%BB%E5%87%BB%E7%9A%84windows%E6%9C%8D%E5%8A%A1%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E4%B8%8E%E7%BB%95%E8%BF%87%E5%BA%94%E7%94%A8%E7%99%BD%E5%90%8D%E5%8D%95/ <h1 id="深入挖掘易受攻击的windows服务">深入挖掘易受攻击的Windows服务</h1> <p>Brian Fehrman //</p> <p>权限提升是威胁行为者在入侵系统后的常见目标。拥有提升的权限可以执行诸如提取本地密码哈希、从内存中转储明文凭据以及在系统上安装持久后门等任务。配置不安全的Windows服务可能是权限提升的一种途径。Windows服务通常在提升用户的上下文中运行。如果您能让服务运行您的恶意程序,您的程序很可能会以提升的权限运行。本博客文章讨论了在尝试利用Windows服务时可能出现的两个障碍。</p>