文章总结： Ferrum是一个基于Go语言开发的Windows安全研究框架，专注于本地权限提升、持久化机制和COM劫持等攻击面枚举。该工具采用模块化架构，通过单一可执行文件提供CLSID分析和ProcMon过滤等功能，支持生成模块化报告。项目提供跨平台编译脚本和详细使用示例，适用于红队操作和漏洞研究场景。 综合评分： 78 文章分类： 漏洞分析,安全工具,红队,内网渗透,Windows安全

用于 LPE、持久化、COM 劫持和攻击面枚举的 Windows 安全研究工具包

Ots安全

2026年6月14日 19:25 广东

在小说阅读器读本章

去阅读

威胁简报

恶意软件

漏洞攻击

Ferrum 是一个基于 Go 语言编写的、以 Windows 为核心的漏洞研究和安全审计框架。它被设计成一个单一的二进制文件，ferrum.exe其模块通过一个小型核心接口进行注册。

GOOS=windows GOARCH=amd64 go build -o ferrum.exe ./cmd

或者使用随附的脚本：

.\scripts\build-windows.ps1

来自 Linux/macOS：

./scripts/build-windows.sh

Architecture

• cmd/ 包含 CLI 入口点。
• core/ 包含模块注册、上下文和横幅代码。
• modules/ 包含研究模块。新模块实现core.Module并调用core.Register。
• windows/ 包含带有构建标签的 Windows API 包装器和非 Windows 存根。
• output/ 包含控制台日志记录。

输出

编写一份单模块报告：

ferrum.exe--CLSID--OUTPUTclsid.txt

运行每个模块，并为每个模块写入一个文件：

ferrum.exe --ALL
ferrum.exe --ALL --OUTPUT ferrum-reports

如果没有–OUTPUT，–ALL则会创建一个带有时间戳的文件夹，例如ferrum-output-20260613-153000。

CLSID ProcMon 过滤器模型

–CLSID该ProcMon工作流程模型用于COM劫持/LPE分类：

• User is NT AUTHORITY\SYSTEM
• Path contains HKCU\Software\Classes
• Path contains InprocServer32
• Path contains LocalServer32
• Result is NAME NOT FOUND

项目地址：

https://github.com/kernelstub/Ferrum

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《用于 LPE、持久化、COM 劫持和攻击面枚举的 Windows 安全研究工具包》