- Windows
- 关闭防病毒软件
- 启动文件夹
- Invoke-ADSBackdoor
- ADS隐藏webshell
- ADS&JavaScript
- 使用AMSI扫描接口维持权限
- Bitadmin
- CLR Injection
- COM OBJECT hijacking
- 受限委派后门
- 通过控制面板加载项维持权限
- 创建服务
- DCShadow&SIDHistory
- DCSync后门
- DLL劫持
- DLL注入
- DLL代理劫持右键
- DLL劫持计划任务
- 通过自定义.net垃圾回收机制进行DLL注入
- DSRM+注册表ACL后门
- Empire
- Windows FAX DLL Injection
- Guest激活
- 映像劫持
- HookPasswordChangeNotify
- Kerberoasting后门
- 登录初始化
- Metsvc
- MOF
- MSSQL后门
- Netsh Helper DLL
- NPPSpy记录密码
- NSSM
- 唯一IP访问
- Password Filter DLL
- Persistence
- 基于域策略文件权限后门
- 进程注入
- Invoke-Tasks权限维持
- WMI-Persistence
- RID劫持
- rootkit
- S4U2Self后门
- 计划任务
- 影子用户
- 添加签名
- Skeleton Key万能钥匙
- Squibledoo
- 注入SSP被动收集密码
- WinRM端口复用
- WMIC事件订阅
- RPC后门
- Shadow-Credentials
- 动态调用进程注入逻辑
- 通过挂起EventLog服务线程禁用Windows事件日志
- 隐藏windows服务
- ImportDLLInjection-通过修改内存中的PE头来注入DLL的另一种方法
- 父进程破坏
- 进程挖空(MitreT1055.012)
- Linux
- web服务&中间件