DLL ForwardSideloading 文章探讨了Windows DLL的函数转发机制，并发现Windows 11中存在将执行转向非KnownDlls库的情况，可用于实现间接DLL侧载攻击。... 2025-8-19 22:31:42 | 阅读: 16 | 收藏 | Hexacorn - www.hexacorn.com ncryptprov forwards keyiso knowndlls payload

Beyond good ol’ Run key, Part 150 文章介绍了Windows Server 2022和2025中的servercoreshell.exe程序及其功能。该程序访问多个注册表项以执行初始化任务，并允许通过修改注册表或批处理文件来自定义启动行为。然而，配置不当可能导致程序无限循环启动。此外，该程序与Windows的Shell Launcher功能相关联，用于替换默认shell以实现定制化用户界面。... 2025-8-17 00:8:34 | 阅读: 21 | 收藏 | Hexacorn - www.hexacorn.com windows microsoft software servercore machine

1 little known secret of advpack.dll, LaunchINFSection 这篇文章介绍了一种利用Windows的.INF文件加载自选DLL的方法，通过`LoadAdvpackExtension`函数实现，并详细说明了配置和运行步骤。... 2025-7-12 22:42:0 | 阅读: 13 | 收藏 | Hexacorn - www.hexacorn.com test64 windows oldie testgo

Beyond good ol’ Run key, Part 149 作者尝试通过修改注册表项`GPExtensionDLL`实现持久化机制但未成功, 系统因空指针调用崩溃. 尽管该方法存在技术难点, 作者仍认为其具有研究价值, 值得记录.... 2025-7-11 23:10:40 | 阅读: 20 | 收藏 | Hexacorn - www.hexacorn.com bsods mpssvc relies coded restarted

Beyond good ol’ Run key, Part 148 分析AggregatorHost.exe二进制文件时发现一个新的Registry条目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Diagnostics\DiagTrack\TestHooks\TestUndockedAggregatorDll可作为持久化机制，在系统启动时加载恶意软件。... 2025-7-5 23:44:20 | 阅读: 14 | 收藏 | Hexacorn - www.hexacorn.com software microsoft windows diagnostics

Beyond good ol’ Run key, Part 147 文章探讨了TestHook在Windows系统中的应用及其潜在滥用方式。通过注册表设置特定条目，可使恶意DLL在系统启动时加载。... 2025-7-5 23:26:46 | 阅读: 28 | 收藏 | Hexacorn - www.hexacorn.com microsoft testhook windows twice

VMwareResolutionSet.exe VMwareResolutionSet.dll lolbin 文章指出，在Windows虚拟机中安装VMware Tools后，默认路径下运行VMwareResolutionSet.exe会导致尝试加载缺失的VMwareResolutionSet.dll文件。通过创建自定义DLL并放置在该路径，可以实现程序加载控制。... 2025-6-15 20:49:23 | 阅读: 15 | 收藏 | Hexacorn - www.hexacorn.com phantom usual payload placing

wermgr.exe boot offdmpsvc.dll lolbin wermgr.exe通过命令行参数`-boot`触发加载特定DLL（offdmpsvc.dll），可用于执行恶意代码。... 2025-6-14 23:35:7 | 阅读: 16 | 收藏 | Hexacorn - www.hexacorn.com wermgr similarly phantom

wpr.exe boottrace phantom dll axeonoffhelper.dll lolbin 文章描述了通过wpr.exe程序的命令行参数触发phantom DLL（axeonoffhelper.dll）加载的方法，并展示了如何利用此特性执行特定操作。... 2025-6-14 23:14:0 | 阅读: 18 | 收藏 | Hexacorn - www.hexacorn.com wpr boottrace windows phantom

mscoree.dll, RunDll32ShimW lolbin 通过修改COMPlus_InstallRoot环境变量指向自定义目录，并将payload放置在相应子目录中，利用rundll32.exe和mscoree.dll的RunDll32ShimW函数实现payload的侧载加载。... 2025-5-31 23:9:23 | 阅读: 15 | 收藏 | Hexacorn - www.hexacorn.com complus installroot rundll32 mscoreei

shell32.dll, #61 shell32.dll导出的函数#61使用内部名称RunFileDlg，通过rundll32.exe调用该函数可显示运行对话框。... 2025-5-30 22:29:7 | 阅读: 15 | 收藏 | Hexacorn - www.hexacorn.com shell32 runfiledlg surprise rundll32 presents

Shell32.dll, #44 lolbin 壳32.dll库导出Control_RunDLLNoFallback函数（序号44），可用于运行CPL文件。通过 rundll32.exe 调用该函数启动CPL文件。此技术被RaspberryRobin等恶意软件采用。... 2025-5-18 00:51:30 | 阅读: 196 | 收藏 | Hexacorn - www.hexacorn.com shell32 syswow64 cpl windows relies

Minority (forensic) report aka defending forward w/o hacking back 探讨网络安全中检测与响应的关系，分析Prefetch文件、MRU列表、Jump List等系统日志及 forensic artifacts，识别异常活动和潜在威胁。... 2025-5-2 23:28:40 | 阅读: 11 | 收藏 | Hexacorn - www.hexacorn.com telemetry unusual prefetch artifacts

Malware Source code string extraction 文章探讨了如何通过分析恶意软件源代码中的字符串和文件扩展名来快速识别潜在的恶意活动和内部威胁。通过提取独特的文件名和关注编程相关的文件扩展名，可以在短时间内发现有价值的 forensic artifacts，并用于检测恶意行为或员工违规操作。... 2025-3-30 00:16:52 | 阅读: 39 | 收藏 | Hexacorn - www.hexacorn.com corpora artifacts malicious wins predictable

Hunting for the warez & other dodgy stuff people install / download, part 2 文章介绍了通过搜索特定多媒体、字幕和存档文件扩展名来发现公司设备上的非法内容，并利用torrent和磁力链接追踪相关内容。然而，处理这些违规行为需谨慎，通常被视为低优先级风险，并可能涉及内部人员违规。... 2025-3-8 22:19:50 | 阅读: 4 | 收藏 | Hexacorn - www.hexacorn.com referencing pirated subtitle 7z station

Hunting for the warez & other dodgy stuff people install / download, part 1 文章探讨了员工在公司内部安装盗版或可疑软件的问题及其带来的安全风险。尽管实施了严格政策和关键词监控，但误报和复杂环境仍使管理困难。建议通过分析日志中的特定关键词及利用公开资源优化检测机制。... 2025-3-1 00:30:33 | 阅读: 7 | 收藏 | Hexacorn - www.hexacorn.com software keygen telemetry pirated cracking

DeXRAY v2.35 DeXRAY 更新版本新增 Fortinet 隔离文件支持，基于 maldump 研究，感谢 TheMythologist 和研究人员。... 2025-2-24 22:58:55 | 阅读: 14 | 收藏 | Hexacorn - www.hexacorn.com maldump download dexray guys

String analysis for n00bs 文章介绍了一个Windows可执行文件的反向工程案例。静态和动态分析显示其功能简单（输出"Hello World!"），但代码分析揭示了隐藏功能：当传入特定参数（如"/h"）时会输出"Hello Baby!!"。这提醒我们不能盲目依赖自动化工具，需深入分析以发现潜在分支或隐藏行为。... 2025-2-23 14:6:52 | 阅读: 9 | 收藏 | Hexacorn - www.hexacorn.com analysis blindly payload printed locale

Good Exports are real 2025-2-22 23:24:56 | 阅读: 7 | 收藏 | Hexacorn - www.hexacorn.com

Optimizing the regexes, or not 文章讨论了如何通过正则表达式匹配大量已知干净内核驱动文件名的问题，并尝试使用Regexp::Optimizer模块生成高效且精确的正则表达式。尽管实现了51%的压缩率，但复杂性过高导致调试困难，并反思正则表达式可能并非最佳解决方案。... 2025-2-22 10:57:31 | 阅读: 12 | 收藏 | Hexacorn - www.hexacorn.com gave solving kinda trie 5k