日志类型Windows系统日志：记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。 Linux系统日志：记录linux系统运行中发生的各种类型的消息文件，包括 linux内核消息、用户登录消息、程序运行信息等。 应用日志：包括但不限于Web应用、应用程序等众多繁杂的日志。 Windows系统日志Window

MSI lessmsi工具 msiexec命令 1msiexec /a test.msi /qb TARGETDIR=D:\test Orca MSI文件分析 https://mgeeky.tech/msi-shenanigans-part-1/ https://intezer.com/blog/incident-response/how-to-analyze-malicious-m

ATT&CK简介ATT&CK的全称是 Adversarial Tactics, Techniques, and Common Knowledge(对抗战术、技术和常识)。由MITRE公司于2013年首次提出，该公司一直以来都在为美国政府及军方服务，其中包括**CVE(Common Vulnerabilities & Exposures)**。 MITRE ATT&

简介njRAT，也称为Bladabindi或者Njw0rm，是一种远程木马，用于远程控制受感染的计算机。是由名为Sparclyheason的地下黑客社区成员制作，使用微软.NET框架开发。于2013年6月首次被发现，并经常用于攻击中东的目标。它可以通过网络钓鱼和外部USB驱动器进行传播。 RedPacket Security 将 njRAT 描述为：“远程访问木马 (RAT) 具有记录击键、访问受

前言AsyncRAT是一个APT组织喜欢使用的开源RAT之一，该木马最初由Github用户NYAN-x-CAT使用C#开发，此后该工具被多个黑客组织或者个人修改、增强用于各种网络间谍活动中。 AsyncRAT不仅包括通讯、守护、隐藏、自启动等常见功能模块，还包含加密、反沙盒、反虚拟机、反分析、反调试等对抗模块。并且将远程桌面监控、Webcam监控、键盘记录、文件查找、远程shell、Bots Ki

第六章 提权技术进程访问令牌权限提升访问令牌访问令牌 是描述进程或线程的安全上下文的对象。令牌中的信息包括与进程或线程关联的用户帐户的标识和特权。当用户登录时，系统会通过将密码与存储在安全数据库中的信息进行比较来验证用户的密码。如果密码经过身份验证，系统会生成访问令牌，并且代表该用户执行的每个进程都拥有该令牌的一个副本。该令牌标识用户、用户所属组和用户的特权。 系统使用该令牌控制对可保护对象的访

第五章 自启动技术注册表实现开机自启动的途径和方式有很多种，其中修改注册表方式应用最为广泛。注册表相当是操作系统的数据库，记录着系统中方方面面的数据，其中也不乏直接或间接导致开机自启动的数据。本节介绍向Run注册表中添加程序路径的方式，以实现开机自启动。 实现原理理解修改注册表实现开机自启动功能的一个重要前提就是，Windows提供了专门的开机自启动注册表。在每次开机完成后，它都会在这个注册表键下

第四章 启动技术创建进程API在一个进程中创建并启动一个新进程，最简单的方法无非是直接通过调用WIN32 API函数创建新进程。用户层上，微软提供了WinExec、ShellExecute和CreateProcess等函数来实现进程创建。 WinExec、ShellExecute以及CreateProcess除了可以创建进程外，还能执行CMD命令等功能。 代码实现 1234567891011121

第三章 注入技术为了方便对目标进程空间数据进行修改，或者戴上目标进程的“面具”进行伪装，病毒木马需要将执行的Shellcode或者DLL注入到目标进程中去执行，其中DLL注入最为普遍。 这是因为DLL不需要像Shellcode那样要获取kernel32.dll加载基址并根据导出表获取导出函数地址。若DLL成功注入，则表示DLL已成功加载到目标进程空间中，其导入表、导出表、重定位表等均已加载和修改

第二章 基础技术运行单一实例通过CreateMutex函数来创建或者打开一个已命名或未命名的互斥对象，程序在每次运行的时候，通过判断系统中是否存在相同命名的互斥对象来确定程序是否重复运行。 12345678910111213141516171819202122232425262728293031323334#include <iostream>#include <windows.