打包后应用在 Windows 7 无法直接运行,需要修改兼容性为 Windows 7 才可以使用 打包后安装或者卸载时应用在运行会安装或者卸载失败,无法替换或删除应用(这个与 Electron 无关但也介绍一下...) 打包后应用第一次启动无法使用拖拽功能 脚本设置启动程序兼容性 设置程序兼容性有两种方式,一种是手动右键修改,但这种方式明显不可能让用户自己去操作,所以我们需要另外一种方式就是在安装程序后自动写入一个注册表...CurrentVersion\AppCompatFlags\Layers] "C:\\Program Files (x86)\\MyOffice\\avic.exe"="WIN7RTM" 要在 NSIS 的脚本中写入这个注册表...WriteRegStr 方法写入到了注册表中,给它设置的值是 WIN7RTM,这样应用在启动的时候,就会以 Windows 7 兼容性模式运行了。...avic.exe" Pop $R0 IntCmp $R0 1 0 no_run Quit no_run: FunctionEnd 打包后无法使用拖拽功能 经过排查发现,NSIS 打包后安装包程序默认是以管理员身份启动的
默认配置文件制作完成后,将此配置文件进行精简,尽量精简到3M以内 方法2:使用一个本地管理员用户在标准模板中将所有软件安装调试好,系统优化设置完毕,然后使用另外一个管理员用户登录到此系统中,使用windows...enabler工具将原来安装调试软件的用户的配置文件导出,导出时赋予everyone完全控制权限。...关于输入法 Windwos定义用户的输入法设置存放在HKCU\Keyboard Layout中,当前使用的输入法存放在HKCU\Keyboard Layout\Preload中,在Windows PE或者...Windows预启动时的输入法设置则存放在HKCU\Software\Microsoft\CTF\SortOrder\AssemblyItem中。...题外话(关于XenApp强制) 如果在XenApp环境中使用微软TS强制配置文件,在优化配置文件的时候,如果没有应用程序将配置文件写入到AppData文件夹(一般的B/S系统插件都不会写入,如果有应用程序写入到
在特权文件操作滥用(例如:任意文件写入)时非常有用,假设你发现了一个服务,该服务允许你写入任意文件并且以NT AUTHORITY SYSTEM权限到文件系统上的任何位置,配置DLL劫持就可以完成NT AUTHORITY...,主要有两个原因: 需要重新启动:重启很可能导致当前的权限断掉 服务启动失败:即使成功的写入DLL到目标文件中,服务以NT AUTHORITY\SYSTEM身份加载DLL,但是服务成功启动了吗?...如果管理员没有对其检查,则该应用程序的文件夹容易收到攻击,以下使两种常见的情况: 安装程序创建了一个服务,该服务以NT AUTHORITY\SYSTEM运行并从该目录执行程序。...HANDLE hFile, DWORD dwFlags);#需要关注的是dwFlags 标志,这里列举影响关注的几个标志位#LOAD_LIBRARY_SEARCH_APPLICATION_DIR 如果使用此值,则在应用程序的安装目录中搜索...(机翻的,大致意思懂就行) 如果应用程序时安装程序则时另外一回事了。
8 个修补程序。...(Alias:, Cert:, Env:, Function:, HKCU:, HKLM:, and Variable:).。...\MyCompany # 4.使用凭据创建一个持久性映射的网络驱动器 # 请记住,如果在脚本中使用代码段请将Scope参数值设置为“ Global”,以确保驱动器在当前范围之外仍然存在。...(注意默认得注册表提供程序是HKCU和HKLM)而注册表包含的根节点远不止两个此时我们可以采用此cmdlet命令进行创建新的驱动器 # 计算机\HKEY_CLASSES_ROOT = HKCR...# [Y] 是(Y) [A] 全是(A) [N] 否(N) [L] 全否(L) [S] 暂停(S) [?]
管理员在正常情况下是以低权限运行任务的,这个状态被称为被保护的管理员。但当管理员要执行高风险操作(如安装程序等),就需要提升权限去完成这些任务。这个提升权限的过程通常是这样的,相信各位都眼熟过。...适用范围:管理员权限以获得,要得到高权限管理员权限 一般用工具sigcheck检测 网上常拿C:\Windows\SysWOW64\SystemPropertiesAdvanced.exe 举列子...:此程序以当前用户能获取到的最高权限运行。...我们可以劫持注册表,往HKCU\Software\Classes\ms-settings\shell\open\command写入恶意指令从而达到bypassuac的目的。...COM劫持 和dll劫持类似,应用程序在运行时也会去加载指定CLSID的COM组件,其加载顺序如下 HKCU\Software\Classes\CLSID HKCR\CLSID HKLM\SOFTWARE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl 页面文件 页面文件是硬盘上的可选隐藏系统文件,页面文件具有以下功能: RAM 的物理扩展 应用程序要求...单击“高级”选项卡,在启动和故障恢复区域中,单击“设置”,然后检查在写入调试信息下的是否为核心内存转储; c. 单击“确定”两次; 2) 创建页面文件 a. ...命令行配置 以管理员身份打开命令提示符运行如下命令并重启机器(16G RAM机器) reg add "HKLM\System\CurrentControlSet\Control\Session Manager...单击“高级”选项卡,在启动和故障恢复区域中,单击“设置”,然后检查在写入调试信息下的是否为完全内存转储; c. 单击“确定”两次; 2) 创建页面文件 a. ...3)重启计算机,使配置生效 命令行配置 以管理员身份打开命令提示符运行如下命令并重启机器(16G RAM机器) reg add "HKLM\System\CurrentControlSet\Control
公司现在要求发布插件时制作一个安装包,让用户点击安装包后自动将插件相关文件拷贝到相应目录去。本来用inno setup来做一个安装包,顶多就是一个多目录安装的问题。...我们知道64bit系统上照样可以跑32bit的程序,因此在注册表上也有区分,特意为32bit程序作了兼容处理。...通过HKLM32和HKLM64明确指出读取的具体位置,就可以避免上述这种问题了。事实上,在inno setup的说明文档中还有另外一种方法可以尝试,也可以避免64bit系统产生的问题。...在调用之前先判断当前安装程序是否是运行在64位系统上。...Update 2016-3-7: 在64Bit系统上,将动态库文件拷贝到C:\WINDOWS\System32目录下时,会自动重定向到SysWOW64目录下,导致程序运行异常。
在日常通过可疑路径检索新兴恶意软件时,一个在%APPDATA%/Microsoft中伪装 svchost.exe 的样本引起了我们的注意。该样本是ConfuserEx加壳的 .NET 程序。...将文件夹的所有文件与文件夹名称发送到 C&C 服务器,列出所有可用驱动器 file_send 将文件发送到 C&C 服务器 exploit_admin_win10 使用 Windows 10 UAC Bypass 以管理员权限启动给定程序...\shell\open\command\DelegateExecute的值 将要以管理员权限启动的程序的数据写入HKCU\Software\Classes\ms-settings\shell\open\...Pekraut RAT 的安装/卸载 Pekraut 伪装成 svchost.exe 和 Internet Explorer 的更新程序。...Pekraut RAT 支持发送/接收以下类型的数据:按键、文本、图片、音频、视频、错误、文件、身份验证信息。文本数据通过配置文件中的 AES 密钥进行加密,其他数据使用 zlib 进行加密。 ?
微软帖子里提到KB2749655,单独安装上KB2749655似乎没啥作用,估计不能单纯只安装KB2749655,于是继续查资料,发现有个非常关键的补丁KB3125574,它里面包含了100多个补丁,其中就有...KB2749655,安装上KB3125574实现了Win7/2008R2远程调整分辨率DPI。...并且,这个KB3125574还有依赖,必须先安装KB3020369(微软要求),再安装KB3125574,否则安装不上KB3125574。...MessageFont:此键包含消息框文本的字体设置,例如对话框中的文本。 SmCaptionFont:此键包含小标题栏文本的字体设置,例如工具窗口的标题栏。...StatusFont:此键包含状态栏文本的字体设置,例如任务栏中的时钟文本。 IconSpacing:此键表示桌面图标之间的水平间距。
可以通过accesschk.exe枚举指定用户在目标主机中是否对某服务的注册表具有写入权限,如下图test用户对HKLM\SYSTEM\CurrentControlSet\Services\Apache2.4...自动安装配置文件获取文件 管理员给多台机器配置环境时,可能会用脚本配置,即可能会使用安装配置文件,这些文件可能会包含一些敏感信息。...当我们以管理员权限运行cmd的时候,我们可以发现其开启了SeImpersonatePrivilege。...当管理员进行登录的时候,会为用户创建两个单独的访问令牌(标准用户访问令牌、管理员访问令牌) 当标准用户登录时,会为用户创建一个访问令牌,即标准用户访问令牌 标准用户访问令牌与管理员访问令牌的区别在于:标准用户访问令牌会删除管理...在启用了 UAC 后,所有用户帐户(包括管理帐户)都将使用标准用户权限运行,因此当管理组中的用户需要以管理员身份运行某程序时,Windows就提弹出提示。
如下图填写cmd.exe,选择TrustedInstaller运行,会打开一个提权了的cmd窗口,在里面输入reg.exe import filena.reg 图片 图片 执行成功后重启机器 2、安装...TAT 不是光安装就完了,还得确保TAT起作用,具体参考:https://cloud.tencent.com/developer/article/2145058 3、下载运行这个.bat文件,执行完成后重启机器...cloudbase-init,那么userdata里可以做一些业务逻辑的设置,比如更改路由、子网掩码DNS、设置开机自动登录系统、设置开机自动运行某个程序等 例如: #以管理员身份运行...import c:\temp.reg" del "c:\temp.reg" 2>&1 > $null #拷贝可执行文件快捷方式到startup目录或者在该目录创建一个可执行文件指向要执行的目标程序...encoding ascii #重启机器 restart-computer -force 2>$null exit 2>$null 例如: #以管理员身份运行
简介 NSIS(Nullsoft Scriptable Install System)是一个开源的 Windows 系统下安装程序制作程序。它提供了安装、卸载、系统设置、文件解压缩等功能。...函数 包含了模块化的安装逻辑。 在nsi脚本中函数分为两种:用户自定义函数和回调函数。...用户自定义函数 用户自定义函数仅当是Call指令调用时才被执行,如果函数体中没有abort语句,则安装程序执行完了用户自定义函数,继续运行Call语句和指令。...根键必须为下面列表之一: HKCR 或 HKEY_CLASSES_ROOT HKLM 或HKEY_LOCAL_MACHINE HKCU 或HKEY_CURRENT_USER HKU 或HKEY_USERS...例: 将程序信息写入注册表 Section -Post WriteUninstaller "$INSTDIR\uninst.exe" WriteRegStr HKLM "${PRODUCT_DIR_REGKEY
HKLM\SOFTWARE\Microsoft\VisualStudio\SxS\VS7 HKCU\SOFTWARE\Microsoft\VisualStudio\SxS\VS7 HKLM\SOFTWARE...Files\Microsoft SDKs\Windows\v8.0A 变量来源:下面四个注册表项中搜索键“InstallationFolder”,最先搜索到的非空字符串即为该环境变量的值 HKLM\SOFTWARE...LINK 工具在搜索对象、库或在命令行上或由 /BASE 选项指定的其他文件时,使用 LIB 路径。 它还使用 LIB 路径查找在对象中指定的 .pdb 文件。...一个路径必须指向 Visual C++ 安装的 \lib 子目录。 PATH,如果该工具需要运行 CVTRES 并且找不到与 LINK(链接)其自身相同的目录中的文件。...PATH 必须指向 Visual C++ 安装的 \bin 子目录。 TMP,以在链接 OMF 或 .res 文件时指定一个目录。
,但是参数-recurse,-include和 -exclude还是支持的,例如想知道注册表中的那个位置包含了“PowerShell” Dir HKCU:, HKLM: -recurse -include...*PowerShell* -ErrorAction SilentlyContinue # 9.列出Uninstall的子键和它们的属性DisplayName与MoreInfoURL提供了一个简约版已安装程序列表...(但是需要注意SetValue()方法只对刚创建的键有效,因为添加新键时PowerShell会以写权限打开它。...Set-Content 命令 -写入新内容或替换文件中的现有内容。 描述: Set-Content是一个字符串处理cmdlet,用于写入新内容或替换文件中的内容。...基础示例: # 1) 以验证系统的记事本程序的Hash值为例 > Get-FileHash C:\Windows\notepad.exe -Algorithm MD5 Algorithm
命令行 注册表项可以从终端添加到运行键以实现持久性。这些键将包含对用户登录时将执行的实际负载的引用,已知使用此持久性方法的威胁因素和红队使用以下注册表位置。...注册表–当前用户的运行键 如果已获得提升的凭据,则最好使用本地计算机注册表位置,而不是当前用户,因为有效负载将在每次系统启动时执行,而与使用系统身份验证的用户无关。...SharPersist –以用户身份注册 如果已获得提升的访问权限,请修改命令以在本地计算机位置中安装注册表项,以实现所有用户的持久性。...根据特权级别,这些模块将尝试在以下注册表位置中安装base64有效负载: HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Debug HKLM:SOFTWARE...HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run
、删除账户 更改账户类型 更改UAC的设置 安装ActiveX 安装、卸载程序 安装设备驱动程序 将文件移动/复制到Program Files或Windows目录下 查看其它用户的文件夹 UAC有如下四种设置要求...但是,当第三方程序要使用高级别的权限时,会提示本地用户 仅在程序试图更改我的计算机时通知我(不降低桌面的亮度):与上一条设置的要求相同,但在提示用户时不降低桌面的亮度 从不提示:当用户为系统管理员时,所有程序都会以最高权限运行...5.方法五:Windows权限升级绕过UAC保护(通过COM处理程序劫持) 此模块将通过在hkcu配置单元中创建COM处理程序注册表项来绕过Windows UAC。...成功利用此漏洞的攻击者可以完全控制受影响的系统,攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。...身份执行指令了 服务器端口探测,目的是为了查看安装了哪些软件 路径信息 2、数据库提权 (1)SQL Server 主要依据一个特殊的存储过程“xp_cmdshell”,可以调用系统命令 即在sysadmin
比如,JAVA升级程序,每次重启系统时,JAVA升级程序会检测Oracle网站,是否有新版JAVA程序。而类似JAVA程序之类的系统服务程序加载时往往都是运行在系统权限上的。...中,如果我们对这一键值有写入权限就可以修改服务对应的程序路径,让系统以SYSTEM权限运行我们的程序,从而达到提权的目标。...任意用户以NT AUTHORITY\SYSTEM权限安装msi AlwaysInstallElevated是一个策略设置,当在系统中使用Windows Installer安装任何程序时,该参数允许非特权用户以...reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated reg query HKLM\...如果我们对以高权限运行的任务所在目录具有写入权限,就可以使用恶意程序覆盖掉原来的程序。当计划任务下次执行时,就会以高权限运行恶意程序,进而完成提权。
为了简化操作,贡献社会,方便大家,我写了一个自动化脚本,它将利用 WMIC 收集以下信息:进程,服务,用户帐户,用户组,网络接口,硬盘驱动器信息,网络共享信息,已安装的 Windows 补丁程序,启动时运行的程序...下一个情景是如果某个环境中有大量的机器需要被安装,那么技术人员通常不会一个接一个机器的去安装,他们通常会选择自动化安装,这就可能会遗留下安装过程的配置文件,这些配置文件中会包含许多敏感信息,例如管理员账号密码...GPO 首选项文件可用于在域计算机上创建本地用户,当你控制的主机连接在域中时,那么就非常值得去看看存储在 SYSVOL 中的 Groups.xml 文件,任何经过身份认证的用户都可以读取该文件。...C:\Windows\system32> reg query HKLM /f password /t REG_SZ /s C:\Windows\system32> reg query HKCU /f password...如果程序或者服务从一个我们拥有写权限的目录里加载文件时,我们就能够利用这一点来弹 shell,当然这个 shell 的权限也就是该程序所拥有的权限。
注册表操作 读写注册表 读取注册表 首先来介绍一下注册表根的简写,例如HKEY_CURRENT_USER的简写就是HKCU,HKEY_LOCAL_MACHINE的简写就是HKLM。...# 判断系统当前安装.NET框架版本的脚本 $path = 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full' $not_found_msg...需要注意一点,既然是操作Excel,当然首先电脑上需要先安装Excel才能正常使用。 打开和关闭 首先,我们来创建一个Excel对象,这样实际上会创建一个Excel应用程序。...比方说我要打印九九乘法表,那么就可以用类似下面的代码来迭代写入数据。...Install-Module ImportExcel -scope CurrentUser 如果想让所有用户都可以使用这个模块,需要安装到全局位置,不过这需要管理员权限,所以需要在管理员模式的Powershell
异常的进程和服务 即在我们熟知的Windows任务管理器中查看是否有奇怪的进程在运行, 重点关注用户名是SYSTEM(系统)或者Administrator(管理员), 以及在管理员组的用户....对于注册表, 通常是查找自启动的注册点, 并检查对应的应用程序, 常见的启动点为: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software...\Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU...HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx 注: HKLM和HKCU分别是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER...异常的计划任务 接下来是查看异常的计划任务, 重点关注那些以管理员组或者SYSTEM权限, 或者是以空白用户名定时启动的任务.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
