恶意使用

今天我们将深入研究这些provider提供的更多信息。这篇文章假设读者了解Part 1的内容,因此建议先阅读。
事实上,现在的攻击框架(如Cobalt Strike)基本都支持在其他进程中执行非管控型PowerShell以及动态加载执行自定义的.NET代码。根据这些现象我们可以总结出一句话:防御方需要更好地理解.NET的工作机制。