前两篇分别介绍了WMI Attacks & WMI Backdoor，侧重于攻击，所以这篇介绍一下WMI Defense，攻防结合，便于大家更清楚认识WMI.

Matt Graeber在Blackhat中介绍了如何使用WMI并展示其攻击效果，但细节有所保留，所以这一次具体介绍如何通过powershell来实现WMI attacks。

Black Hat USA 2015正在进行，在微软安全响应中心公布的最新贡献榜单中，绿盟科技安全研究员张云海位列第6位，绿盟科技安全团队（NSFST）位列28位，绿盟科技安全团队（NSFST）常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Windows 10执行流保护绕过问题及修复》是团队在此次大会上分享的主要内容

工作过程中，尤其是应急的时候，碰到客户windows域控被入侵的相关安全事件时，往往会需要分析windows安全日志，此类日志往往非常的大；此时，高效分析windows安全日志，提取出我们想要的有用信息，就显得尤为关键，这里给大家推荐一款我常用的windows日志分析工具，logparser，目前版本是2.2。

导出当前域内所有用户的hash

由于现代Windows操作系统的多种缓解技术(ASLR,DEP,SafeSEH,SEHOP,/GS...)，用户态的软件变得越来越难以利用.在安全社区,驱动安全问题变得越来越受关注。

这个系列的文章中,我试图共享在windows系统上关于内核利用的探索结果.因为在网上关于这个话题的文档不是很多-不是很容易理解-我已经发现发表这些文章对于像我这样的新手来说是有帮助的.当然,这些文章中的错误欢迎在评论中指出.

这篇主要是取证的，如果我以后技术好了，也会写写powershell在内网渗透中的实战应用，本文所有的内容基本翻译自fireEyE的<<Investigating Powershell Attack>>,我英文不好，有好多地方都看不懂他文章里写的，我磕磕碰碰的看完了这篇文章。有不对的地方，还请小伙伴们补充。

本文总结了目前windows内核攻击的各种攻击技术.描述并演示了一些常见的绕过windows内核防护的方法，并举一反三地介绍了如何通过内核缺陷找到类似的绕过方法。 通过对内核攻击和内存结构的理解将会进一步丰富基于用户模式应用程序的缓冲溢出知识。

当我看了DM_牛发的http://zone.wooyun.org/content/20429，我的心情久久不能平静，这本应属于我的精华+WB，被他先发了，这娃真是可恶，可恨 ：-)，后来DM_牛又发了我一些资料让我学习，我就写了此文，刚入门，肯定有错误的地方，希望小伙伴们讨论，指出。

最初有总结下的想法始于近期看过的几篇关于CFG绕过以及EMET绕过的文章，这些文章里大概都有提到类似这样的句子“As with every known exploitation mitigation, there are ways to bypass it if certain conditions are met.”。无论攻与防的技术都是有时间与条件限定的，某种技术一般只在某段时间内对某特定场景有效，而攻与防又是在互为前提、互为基础、又互为对手彼此砥砺发展的，那么如果对这些技术的由来以及互相之间的争斗历史（历程）有一个宏观整体的、脉络清晰的认识，对于学习理解Windows平台内存防护机制以及新出现的各种内存攻防技术应该是有积极意义的。

前几天Cylance发布了一个影响Windows系统的漏洞，攻击者可以通过重定向到SMB协议的方式，利用“中间人攻击”来盗取用户认证信息。这个攻击究竟是怎么回事？“重定向SMB”又是什么呢？电脑管家漏洞防御团队对这些问题做了详细的技术分析，现将分析结果分享给大家。

1、自动选择默认桌面 2、开始菜单回归 3、Metro应用窗口化 4、虚拟桌面 5、智能分屏 6、全局搜索 7、其它产品新特性 8、Windows10产品新特性总结

在我们调查过的多数案子中都出现了相似的行为模式，我们叫它攻击生命周期。
安全就像猫捉老鼠，安全团队加了些新的防御措施，然后攻击者换了种攻击方式，绕过你的防御体系。在2014年里还是这样。我们发现更多攻击使用了VPN来连接受害方的网络。同时也出现了许多很聪明的新方法来绕过检测，新工具和技巧从已攻下的环境中传出信息。

Win8开始，Windows引入了新的进程隔离机制AppContainer，MetroAPP以及开启EPM的IE Tab进程都运行在AppContainer隔离环境，在最新的Win10Pre(9926)上，仍然如此。腾讯反病毒实验室对AppContainer的工作机制做一深入解读。

微软最新的补丁包修补了CVE2015-0057的提权漏洞，同一天，漏洞的发现者发表了分析文章《One-Bit To Rule Them All: Bypassing Windows’ 10 Protections using a Single Bit》，看完文章，想尝试构造一下样本，原本以为很简单，结果期间遇到了几个问题，分享出来，希望能与大家一起讨论。