1 little known secret of help.exe 文章介绍了Windows系统中`help.exe`命令的功能及其支持的众多实用命令，并指出通过`help <command>`可执行相关程序并附加`/?`参数。作者指出这可能被用于恶意软件执行，并寻求相关研究信息。... 2025-10-19 01:12:56 | 阅读: 15 | 收藏 | Hexacorn - www.hexacorn.com windows modifies configures removes machine

1 little known secret of nslookup.exe, part 2 利用nslookup.exe的view命令读取文件并排序，通过构造特定文件和本地payload实现代码执行。... 2025-10-19 00:42:7 | 阅读: 11 | 收藏 | Hexacorn - www.hexacorn.com nslookup payload lolbin sorts sorting

1 little known secret of wsreset.exe 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。首先，我得仔细阅读用户提供的文章内容，理解其主要信息。 文章主要讲的是wsreset.exe这个程序是一个已知的lolbin（Living Off the Land Binaries），但它的功能远不止目前所知。当它被调用时，使用/refreshlicenses参数会加载当前路径下的licensemanagerapi.dll库。因此，攻击者可以将WSReset.exe复制到其他文件夹，将恶意载荷放入licensemanagerapi.dll中，然后运行带有该参数的WSReset.exe副本，从而加载恶意载荷。 接下来，我需要将这些信息浓缩成一句话，不超过100个字。要确保涵盖关键点：wsreset.exe是lolbin、使用特定参数加载DLL、攻击者如何利用这一点植入恶意软件。 可能会考虑的表达方式：“WSReset.exe作为已知的Lolbin，可利用/refreshlicenses参数加载当前路径下的licensemanagerapi.dll库。攻击者可将其复制到其他文件夹，并植入恶意载荷于DLL中以实现攻击。” 这样既简洁又全面。 最后，检查字数是否在限制内，并确保没有使用“文章内容总结”之类的开头语。确认无误后，就可以给出这个总结了。 </think> WSReset.exe作为已知的Lolbin，可利用/refreshlicenses参数加载当前路径下的licensemanagerapi.dll库。攻击者可将其复制到其他文件夹，并植入恶意载荷于DLL中以实现攻击。... 2025-10-18 23:58:35 | 阅读: 9 | 收藏 | Hexacorn - www.hexacorn.com wsreset payload copying

Forensics of the past 作者回忆了旧式取证工具EnScript的应用经历，并分享了15年前开发的自动化脚本如何帮助提取和整理恶意软件相关证据。该工具支持快速审查和记录关键注册表项及恶意软件痕迹，被视为早期威胁狩猎实践，并提醒经典方法仍具价值。... 2025-10-17 22:12:33 | 阅读: 10 | 收藏 | Hexacorn - www.hexacorn.com enscript analysis encase ended jaw

ntprint.exe lolbin 文章介绍如何将ntprint.exe复制到指定文件夹并使用命令行参数运行以加载ntprint.dll。... 2025-10-6 00:24:53 | 阅读: 16 | 收藏 | Hexacorn - www.hexacorn.com ntprint windows liking

Using .LNK files as lolbins Windows系统中许多本地.lnk文件的可执行路径依赖环境变量（如%windir%），通过修改相关环境变量可控制程序执行位置。... 2025-10-4 20:59:47 | 阅读: 7 | 收藏 | Hexacorn - www.hexacorn.com windows microsoft accessories dumb mstsc

RunDll Exporters 文章讨论了DLL导出的使用RunDll接口的函数命名习惯及其潜在威胁，分析显示许多未知API来自第三方且缺乏文档支持。... 2025-9-19 23:13:50 | 阅读: 6 | 收藏 | Hexacorn - www.hexacorn.com rundll rundllw xqv rundlla

Enter Sandbox 30: Static Analysis gone wrong 这篇文章讨论了恶意软件静态分析的重要性及其在现代工具中的不足。过去二十年间，逆向工程工具和相关技术（如反编译、反混淆等）取得了显著进步。然而，许多自动化恶意软件分析解决方案未能有效执行深入的静态文件格式分析。作者通过一个被截断的Notepad.exe示例展示了当前在线文件分析服务的缺陷：尽管标记文件为已损坏，仍进行了动态分析并错误报告了许多威胁特征。文章强调需要加强静态分析能力以提高恶意软件检测的准确性，并建议沙盒供应商在提交样本时进行更彻底的静态验证以确保文件完整性和有效性。... 2025-9-19 22:18:42 | 阅读: 5 | 收藏 | Hexacorn - www.hexacorn.com analysis 0002de00 filesize

Beyond good ol’ Run key, Part 151 文章探讨了Windows系统中未被充分描述的持久化机制，特别是通过Xerox库中的XRTLLoadDebugger函数加载DLL的可能性。该机制涉及特定注册表路径和配置设置，可能被用于恶意软件的持久化或作为LOLBIN工具使用。... 2025-9-8 23:46:18 | 阅读: 6 | 收藏 | Hexacorn - www.hexacorn.com xerox software machine centreware wow6432node

DLL ForwardSideloading, Part 2 作者延续了对DLL前向侧载的研究，在Windows 2025服务器和大量"干净" DLL文件中发现了多个潜在的转发函数组合，并指出某些厂商可能在使用与微软和Realtek相似的方法。部分函数名称中的点号可能被用于前向侧载攻击。... 2025-9-3 23:36:9 | 阅读: 17 | 收藏 | Hexacorn - www.hexacorn.com realtek 700k microsoft

DLL ForwardSideloading 文章探讨了Windows DLL的函数转发机制，并发现Windows 11中存在将执行转向非KnownDlls库的情况，可用于实现间接DLL侧载攻击。... 2025-8-19 22:31:42 | 阅读: 12 | 收藏 | Hexacorn - www.hexacorn.com ncryptprov forwards keyiso knowndlls payload

Beyond good ol’ Run key, Part 150 文章介绍了Windows Server 2022和2025中的servercoreshell.exe程序及其功能。该程序访问多个注册表项以执行初始化任务，并允许通过修改注册表或批处理文件来自定义启动行为。然而，配置不当可能导致程序无限循环启动。此外，该程序与Windows的Shell Launcher功能相关联，用于替换默认shell以实现定制化用户界面。... 2025-8-17 00:8:34 | 阅读: 16 | 收藏 | Hexacorn - www.hexacorn.com windows microsoft software servercore machine

1 little known secret of advpack.dll, LaunchINFSection 这篇文章介绍了一种利用Windows的.INF文件加载自选DLL的方法，通过`LoadAdvpackExtension`函数实现，并详细说明了配置和运行步骤。... 2025-7-12 22:42:0 | 阅读: 8 | 收藏 | Hexacorn - www.hexacorn.com test64 windows oldie testgo

Beyond good ol’ Run key, Part 149 作者尝试通过修改注册表项`GPExtensionDLL`实现持久化机制但未成功, 系统因空指针调用崩溃. 尽管该方法存在技术难点, 作者仍认为其具有研究价值, 值得记录.... 2025-7-11 23:10:40 | 阅读: 14 | 收藏 | Hexacorn - www.hexacorn.com bsods mpssvc relies coded restarted

Beyond good ol’ Run key, Part 148 分析AggregatorHost.exe二进制文件时发现一个新的Registry条目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Diagnostics\DiagTrack\TestHooks\TestUndockedAggregatorDll可作为持久化机制，在系统启动时加载恶意软件。... 2025-7-5 23:44:20 | 阅读: 11 | 收藏 | Hexacorn - www.hexacorn.com software microsoft windows diagnostics

Beyond good ol’ Run key, Part 147 文章探讨了TestHook在Windows系统中的应用及其潜在滥用方式。通过注册表设置特定条目，可使恶意DLL在系统启动时加载。... 2025-7-5 23:26:46 | 阅读: 22 | 收藏 | Hexacorn - www.hexacorn.com microsoft testhook windows twice

VMwareResolutionSet.exe VMwareResolutionSet.dll lolbin 文章指出，在Windows虚拟机中安装VMware Tools后，默认路径下运行VMwareResolutionSet.exe会导致尝试加载缺失的VMwareResolutionSet.dll文件。通过创建自定义DLL并放置在该路径，可以实现程序加载控制。... 2025-6-15 20:49:23 | 阅读: 11 | 收藏 | Hexacorn - www.hexacorn.com phantom usual payload placing

wermgr.exe boot offdmpsvc.dll lolbin wermgr.exe通过命令行参数`-boot`触发加载特定DLL（offdmpsvc.dll），可用于执行恶意代码。... 2025-6-14 23:35:7 | 阅读: 11 | 收藏 | Hexacorn - www.hexacorn.com wermgr similarly phantom

wpr.exe boottrace phantom dll axeonoffhelper.dll lolbin 文章描述了通过wpr.exe程序的命令行参数触发phantom DLL（axeonoffhelper.dll）加载的方法，并展示了如何利用此特性执行特定操作。... 2025-6-14 23:14:0 | 阅读: 13 | 收藏 | Hexacorn - www.hexacorn.com wpr boottrace windows phantom

mscoree.dll, RunDll32ShimW lolbin 通过修改COMPlus_InstallRoot环境变量指向自定义目录，并将payload放置在相应子目录中，利用rundll32.exe和mscoree.dll的RunDll32ShimW函数实现payload的侧载加载。... 2025-5-31 23:9:23 | 阅读: 12 | 收藏 | Hexacorn - www.hexacorn.com complus installroot rundll32 mscoreei