Tag: red-team
All the articles with the tag "red-team".
-
ホスト上で動いている EDR を特定する
ホスト上の EDR / AV を、なるべく検知されない手段で特定するための判断フローと手段の使い分けメモ。Registry / WMI / Beacon / PowerShell / tasklist それぞれが残すログと、どれを選ぶかのトレードオフを並べた覚え書き。
-
Pass the Hash と NTLM 認証の流れ
Windows の NTLM 認証を Client / Server / DC のメッセージ単位で追い、Pass the Hash がなぜ成立するかを整理する。NTHash 一つあれば本物のクライアントを名乗れる根拠を、認証フローの側から読み解くメモ。