HQY 一个和谐有爱的空间

0x1前言渗透测试过程中，批量扫描到一些IP地址，需要反差域名，这里给出三种方法：利用nslookup反查域名利用socket批量解析利用pyopenssl解析证书中的CN0x2 利用nslookup反查域名nslookup是最基础的域名解析工具，Windows和Linux上都可以使用。利用nslookup可以解析域名，也可以利用ip反查域名。正向解析：通过域名查IPnslookup domain [dnsserver]反向解析：通过ip反查域名nslookup -

黑客工具：CheatEngine、YDArk、PowerTool、PCHunter、PYArk、APIMonitor、ProcMon、x96dbg、Windbg、OllydbgProcExplorer、ProcessHacker、ProcessMonitor、DbgPlugin、NoOne、Ke64、CrazyDbg。

1.背景知识ProcessHollowing技术又叫进程镂空/进程掏空技术，属于进程注入的一种。主要目的是将恶意代码注入到合法（一般为windows系统自带的）的进程，从而实现合法的进程执行恶意代码从而躲过安全软件的检测与查杀。但是与普通的注入不同的是，ProcessHollowing是创建新的进程而不是对现有的进程进行操作，且不需要调用CreateRemoteThread这个杀软主要检测的API。该技术在当前的APT组织/其他黑客组织中利用的相当频繁且活跃，使用的APT组织包括但不限于Kims

ProcessHacker这款开源软件如官方所说是一款免费、强大的多用途工具，可帮助您监控系统资源、调试软件和检测恶意软件，我们可以通过学习其源代码在我们的软件中定时采集每个进程的CPU使用率、IO使用率等等，还有整机总的CPU使用率、GPU使用率、内存、磁盘使用情况等，具体可以参考ProcessHacker官网的介绍：Process Hacker Overview。最近在看进程CPU采集的代码，参考的是processhacker的源代码的采集逻辑，processhacker是每隔1秒钟采集一次

ProcessHacker学习笔记 ProcessHacker是一款拥有windows任务管理器的开源软件。学习该软件，可增长windows操作系统多方面系统机制知识和性能统计设计的能力。 1、获取进程内存占用率 windows系统下，无论任何版本，都可以在任务管理器下查看各个进程的内存占用率。 XP 2003系统下显示的是进程占用的内存工作集也就是PROCESS_MEMORY_COUNTERS结构中的WorkingSetSize; WIN7 VISTA系统下显

前言蓝队工具箱是为打造一款专业级应急响应的集成多种工具的工具集，由真实应急响应环境所用到的工具进行总结打包而来，由 ChinaRan404,W 啥都学,清辉等开发者编写.把项目现场中所用到的工具连同环境一同打包，并实现“可移植性”“兼容性”“使用便捷”等优点。集成模块：“常用工具”,“流量分析”,“应急响应”,“日志分析”,“逆向分析”,,“上传应急”,“蓝队思路图”,”安装文档“,“临时笔记”等 9 个模块。更新内容根据实际运用情况，删除"规则检测"模块更新"科来

工具简介FindAll工具是专为网络安全蓝队设计的应急响应工具，旨在帮助团队成员有效地应对和分析网络安全威胁。工具集成了先进的信息搜集和自动化分析功能，以提高安全事件应对的效率和准确性。核心特点综合信息搜集 系统基本信息: 除了输出系统详细信息以外，还会检查系统配置和补丁，识别可利用的漏洞。 网络信息: 分析当前网络连接，如果填写了微步API即可轻松识别异常网络，本产品会根据异常网络情况找到对应的进程然后进行分析和识别。 开机启动项: 

蓝队工具箱使用手册文档目的群里的师傅有很多工具找不到使用文档，特此专门写了这个文档，用于各位师傅查询，文末复下载链接，可下载下来慢慢品尝注意，本文档同步蓝队工具箱进行使用蓝队应急响应工具箱-v8-新春贺岁版工具使用everythingeverthing软件-是一个强大的文件搜索工具,它体积小巧,界面简洁易用,快速建立索引,能够以极快的速度帮助用户找到计算机上的文件和文件夹,无限提升效率使用方法：直接打开即可Process Hacker：一款用于调试和排除软件故障的强大工具Process Hack

还记得粉碎攻击吗？我认为创造Gapz的目的是为了绕过用户界面特权隔离（UIPI）。接下来我要介绍一个更简单的技巧——它甚至不需要任何ROP。有一类窗口始终存在于使用窗口子类的系统上。窗口子类化只是挂钩的别称之一，因为在子类化过程中，旧窗口过程被保留，而新的窗口过程被分配给窗口。然后一个新的窗口将拦截所有消息，完成它的任务后再然后调用旧的窗口。“本机”窗口子类使用SetWindowSubclass API完成。当一个窗口被子类化时，会有一个新属性储存在其内部结构中，并根据comctl32.dll的

金蝶云星空许多地方可以通过设置Python表达式来实现功能需求，无需写插件，无需重启系统，即刻生效，真的很香很好用。支持设置Python表达式的地方有：实体服务规则、值更新事件服务、操作校验规则、各类前置条件、工作流设计器、流程配置中心启动条件、单据转换、反写规则等。学好用好Python表达式，可以减少大量开发工作量，将有助于轻巧快速的解决问题。需求案例演示本文，将以《销售订单》为例，试讲下列六项需求案例的实现：(注：点击图片可放大清晰看)需求案例1：获取单据体文本字段多行集合，以指定分隔符拼成

概述值更新：顾名思义当前字段的字段发生改变后，自动执行指定服务。“值更新”就是该类服务的执行时机触发点。一般需要当前字段上勾选属性“即时触发值更新”，在焦点离开当前字段时就触发相关值更新服务。适用于“单一字段触发的”、“值更新时机触发”的场景，例如，选择物料字段后，分别携带物料的基本单位、计量单位等属性到指定字段。这种场景就时候用值更新配置实现。入口：单据字段属性上“值更新服务”实体服务规则：表单的执行错综复杂，一个字段的改变引起一堆字段变化，将所有的逻辑变成一个个规则，复杂的事情都交给平台去处

实体服务规则表单的执行错综复杂，一个字段的改变引起一堆字段变化，将所有的逻辑变成一个个规则，复杂的事情都交给平台去处理：自动合并规则批量执行提高效率、智能执行减少重复执行，并且提供对动态语言的解析（IronPython）。例如，为了完成“单据体采购物资中数量和单价不为空时，计算出金额字段的值”,需要考虑物资值更新事件等多种时机点的处理。采用实体服务规则，定义一个规则就可以解决，在调用服务时，指定该服务加载、新增行、值更新时机点要触发执行即可。入口：单据头、子单据头、单据体、子单据体等实体上都有属

一、进行bos，打开对应单据，批量字段编辑，找到基本信息，实体服务规则二、新建一个服务规则三、编辑相关的规则条件：当部门等于研发部时，单据类型默认为  研发-采购申请，否则就是默认的 标准采购申请规则条件 用部门编码，   FApplicationDeptId.FNumber = "10.x1" OR  FApplicationDeptId.FNumber = "10.x2" 条件成立执行服务用