Gorstak-Zadar/LOLBinDetection

# 🛠️ LOLBin 检测 ## 📋 概述 LOLBinDetection 用于监控 Living Off The Land Binaries（LOLBins）的滥用行为——即攻击者用于恶意活动的合法 Windows 系统工具。 ## 🎯 检测内容 - 🛠️ **Certutil 滥用** - 通过 certutil 下载文件 - 🔄 **Bitsadmin** - 恶意文件传输 - 🌐 **MSHTA** - 脚本执行滥用 - 📦 **Rundll32** - DLL 执行滥用 - 📝 **Regsvr32** - 脚本小程序执行 - 🎯 **MSIExec** - 远程安装滥用 ## 🚀 使用方法 ``` # 检测 LOLBin 滥用 .\LOLBinDetection.ps1 ``` ## 📜 许可证与免责声明 ## 本软件仅用于**授权的安全监控**。 ## 详细法律免责声明 本项目仅供授权的防御性、行政性、研究性或教育性使用。 - 仅在您拥有明确授权的系统、网络和环境中使用。 - 滥用可能违反法律、合同、政策或可接受使用条款。 - 运行安全、加固、监控或响应工具可能会影响稳定性，并可能干扰合法软件。 - 在生产环境使用前，请在测试环境中验证所有更改。 - 本项目按"原样"提供，不提供任何形式的保证，包括适销性、特定用途适用性和非侵权性。 - 作者和贡献者不对直接或间接损害、数据丢失、停机、业务中断、法律风险或合规影响承担责任。 - 您应全权负责在您管辖范围内的合法运营、配置选择和合规义务。

_{由 Gorstak 精心打造}

标签：AI合规, AMSI绕过, Bitsadmin, Certutil, Conpot, EDR, IPv6, Libemu, Living Off The Land, LOLBin检测, MSHTA, MSIExec, PowerShell, Regsvr32, Rundll32, Windows安全, 二进制执行, 威胁检测, 安全运营, 扫描框架, 文件传输监控, 知识库安全, 红队检测, 终端安全, 终端检测与响应, 网络信息收集, 网络安全, 脆弱性评估, 脚本执行检测, 隐私保护