Empire 5.10 is now live!
- Sacrificial Spawn Process BOF
- .NET 4.5 support
- New tasking statuses for Starkiller
- Added Moriarty module
- Autoupdate submodules on startup
Check out the release notes for a full list of new features.
ブラウザデータの窃取をWindowsイベントログから検知するには、イベント16385とイベント4688を見るのが良い。Google記事。16385はData Protection API (DPAPI)が特定のブラウザの鍵を復号しているプロセスを示し、4688は復号を行っているプロセスをプロセスID付きで示す。
Major updates to Hayabusa and Takajo released at BSides Tokyo. Hayabusa now can handle exported JSON from splunk and has a new low memory mode great for endpoint collection and scans on infinitely large data.