1.前言连续两天更新了，兄弟们，能不能说一句yawataa勤政。今天就讲讲怎么ring3层致盲火绒吧，这是一个很老的技术，大概22年的时候就有公开文章进行讲解了，不过关它针对的是defend，在我实际测试中依然对火绒有效（2月份的时候就已经发现依然有效了，但是我一直不太想更新，哈哈，因为写东西也比较麻烦，再加上这个其实国内也有很多大佬师傅早就讲过了）。 2.背景介绍这个技术大概是首发在elasti

1.起因好久没有做vshell的免杀了，一直在做的是cobalt strike的免杀，因为算是第一个接触的C2我个人也是比较有念旧情节的，就一直没有换。 但是最近在帮朋友做免杀的时候发现了一个事情，vshell能正常上线 但是执行命令的时候会被秒杀，本着在学校没有事情做的原理，就研究一下吧。 2.开始首先火绒内存查杀 高级设置全部打开 首先我们上线一个vshell，观察一下情况 我们可以看到

RegPwn-CVE-2026-24291漏洞链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24291 作者文章地址：https://www.mdsec.co.uk/2026/03/rip-regpwn/ 1.介绍MDSec 安全研究团队在进行红队演练（Red Team Engagements）时发现了一个 Wi

前言好久没有写文章了，主播最近在持续学习当中，有些知识点还没有掌握，也没有自己更深的理解，所以写不出来什么东西，只能借着一些大佬的博客或者是公众号来写一点东西吧。 magicdot的介绍magicdot是SafeBreach Labs 的一位研究人员在 BlackHat Asia 2024 大会上以 “MagicDot: A Hacker’s Magic Show of Disappearing

SketchUp Desktop 2025 DLL Hijacking Vulnerability(CVE-2025-60749)Introduction to SketchUp DesktopSketchUp Desktop is an intuitive tool focused on 3D conceptual design and in-depth modeling. Its iconic

简单介绍上下文菜单为用户提供快捷方式以执行许多操作。单击鼠标右键，对于每个Windows用户来说这是一个非常常见的操作。在红队视角中，我们可以让用户每次单击右键鼠标时都可以执行shellcode，将此操作武器化以实现持久性 IShellExtInit和IContextMenu是 Windows API 中的接口，允许开发人员扩展 Windows shell 并将自定义功能添加到当用户在 Windo

介绍我们都知道当我们结束掉系统的一个关键进程的时候，电脑会发生蓝屏，比如我们结束掉csrss.exe这个进程的时候。 那么到底是为什么呢？为什么有些关键进程挂了会蓝屏，有些进程挂了反而没事？其实都是因为该进程的一个标志位就是这个”ProcessBreakOnTermination “,通过这个标志这是一个关键进程。同时还有”ThreadBreakOnTermination” 这个标志位，标志这是一

这一期也是一个杂谈，我想把一些常用的技术，无论是红队实战的，还是免杀的一些技巧都写一下，因为还是不成体系没办法单独写成一个模块。所以写起来比较杂，兄弟们也不要嫌弃，该有的简单介绍和代码也是有的。 后续的计划是准备写二进制和翻译一些国外的文章，还有杂谈一些过去出现的一些有意思的新技术，比如doublue agent，这种2017年就出来的利用Windows 的机制实现被动dll注入的技术。当然现在面

前言写这个文章呢，主要是写一些免杀中，或者是其他恶意代码开发中，可能会用到的一些手段和手法，因为内容有点偏杂，并且没办法聚合起来形成一个单独的模块，所以就把这些放到一起来讲了。也希望兄弟们，不要嫌弃。 傀儡进程简单介绍傀儡进程（Process Hollowing） 傀儡进程是一种相对较老的技术，其基本思想是创建一个合法的、挂起的进程，然后用恶意代码替换其内存空间，最后恢复进程的执行。 工作原理：

dll注入的前言dll注入的起源dll注入又称之为动态链接库注入。DLL 注入这个概念并没有一个明确的“最早提出者”，它更像是在 Windows 操作系统发展过程中，随着对系统内部机制的理解加深，逐渐被发现和利用的一种技术。 在 Windows NT 时代，一些病毒和恶意软件开发者为了实现持久化、隐藏自身或劫持其他程序的行为，开始探索各种技术，其中就包括了类似 DLL 注入的方法。他们可能没有明确