(利用条件比较苛刻) 系统服务权限配置错误利用有如下两种方式:服务未启动:攻击者可以使用任意服务替换原来的服务,然后重启服务 服务正在运行且无法被终止:这种情况符合绝大多数的漏洞利用场景,攻击者通常会利用...这是因为当一个服务在Windows系统中启动后,它必须和服务控制管理器通信,如果没有通信,服务控制管理器会认为出现了错误,并会终止这个进程,我们所有需要做的就是在终止载荷进程之前,将它迁移到其它进程。...简介:windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的时间执行程序或脚本(在大多数情况下,计划任务是以NT Authority\System高权限执行的),...如果地权限用户对计划任务所在目录有读写权限,完全可以替换计划任务所执行的脚本或程序,获得高权限(但需要错误配置,让此目录下其他用户可写)。...UAC通过阻止程序执行任何涉及有关系统更改/特定任务的任务来运行。除非尝试执行这些操作的进程以管理员权限运行,否则这些操作将无法运行。
(利用条件比较苛刻) 系统服务权限配置错误利用有如下两种方式:服务未启动:攻击者可以使用任意服务替换原来的服务,然后重启服务 服务正在运行且无法被终止:这种情况符合绝大多数的漏洞利用场景,攻击者通常会利用...这是因为当一个服务在Windows系统中启动后,它必须和服务控制管理器通信,如果没有通信,服务控制管理器会认为出现了错误,并会终止这个进程,我们所有需要做的就是在终止载荷进程之前,将它迁移到其它进程。...简介:windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的时间执行程序或脚本(在大多数情况下,计划任务是以NT AuthoritySystem高权限执行的),如果地权限用户对计划任务所在目录有读写权限...,完全可以替换计划任务所执行的脚本或程序,获得高权限(但需要错误配置,让此目录下其他用户可写)。...UAC通过阻止程序执行任何涉及有关系统更改/特定任务的任务来运行。除非尝试执行这些操作的进程以管理员权限运行,否则这些操作将无法运行。
,那么我们可以使用 EventSentry 终止那些在命令行中使用 -version 2参数的 powershell 进程。...然而在执行的所有测试中,即使最简单的 Write-Host Test” PowerShell 命令也无法正确执行,因为 powershell.exe 进程在运行之前已终止。...因此,在网络上下载任何恶意脚本内容都有可能在造成伤害之前终止运行。 散弹枪方法 通过上面的方式无法满足所有需求,比如通过快捷方式调用 PowerShell V2 而不是命令行。...注意:由于 400 事件无法与活动进程相关联(400 事件不包含 PID),因此我们无法做到选择性的终止 powershell 进程,只会将所有 powershell 进程都终止,但是,我觉得这不是一个问题...PowerShell 事件日志,则无法杀死确切有问题的 PowerShell 进程,并且所有正在运行的 PowerShell.exe 进程都必须终止。
恢复备份 恢复备份前,先终止游戏进程。通过开始菜单或搜索框搜索打开任务管理器。 在任务管理器中找到名为“Pal”的进程,选中并右键单击,再点击“结束任务”。...定时备份 4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。 4.2 点击右侧边栏的【创建任务】,开始创建定时任务。 4.3 在创建任务的窗口,配置以下内容。...在【程序或脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。 4. 完成以上设置,点击确认,创建定时任务。 5....点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。 6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...右侧所选项可以管理定时任务,例如删除任务、编辑任务配置等。 5. 恢复备份 5.1 恢复备份前,先终止游戏进程。通过开始菜单或搜索框搜索打开任务管理器。
恢复备份恢复备份前,先终止游戏进程。通过开始菜单或搜索框搜索打开任务管理器。在任务管理器中找到名为“Pal”的进程,选中并右键单击,再点击“结束任务”。...定时备份4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。4.2 点击右侧边栏的【创建任务】,开始创建定时任务。4.3 在创建任务的窗口,配置以下内容。...在【程序或脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。4. 完成以上设置,点击确认,创建定时任务。5. ...点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...右侧所选项可以管理定时任务,例如删除任务、编辑任务配置等。5. 恢复备份5.1 恢复备份前,先终止游戏进程。通过开始菜单或搜索框搜索打开任务管理器。
,Windows计划任务(schtasks.exe)和PowerShell来发动其攻击。...勒索软件链由run.bat脚本文件作为起始,它会创建一个Windows任务并使用WinMgr.xml来配置任务,然后执行clean.bat脚本。...当该脚本由计划任务执行之后,clean.bat将会执行一个Base64编码的PowerShell脚本,并从一个名叫WinMgr.bmp的图片文件中提取出ProLock的可执行文件,然后将其加载进内存中并执行...勒索软件会终止这类进程,以确保用户文件没有处于锁定或打开状态,从而实现数据的成功加密。 接下来,恶意软件将会试用net.exe来尝试关闭与企业应用程序、安全软件和备份软件相关的150多种服务和进程。...此时,当目标主机上所有的安全防护措施都已经失效之后,勒索软件将会开始检测目标主机上所有已加载的存储介质,并遍历本地或网络驱动器的目录结构,这一部分操作都是通过powershell.exe进程来实现的。
攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。 攻击链路: ?...运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某...病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务,计划每天7:00运行 C:\windows...进程操作 执行cmd命令查询域名信息、本地管理员组信息: ? 判断当前环境是否在域中,由于测试机未加入域,此操作失败。 ? 释放PowerShell脚本并执行,命令行参数为 ?
Windows设置 => 脚本(登录/注销) 此处可以添加开机启动的程序、批处理文件和powershell脚本,开机时就会根据脚本自动运行添加到程序或任务 此处的任务是不会显示在启动或msconfig...定时任务经常是病毒、后门、权限维持等恶意行为的常见操作对象,通过添加新的定时任务,启动恶意脚本、powershell或者其他命令行语句来达到权限维持或者扩散的目的 排查计划任务开始前,需要先开启计划任务记录...0x00000004(禁用):计划任务服务被禁用,无法启动。 Type:指定计划任务服务的类型。常见取值为: 0x00000110:计划任务服务是一个内核驱动程序服务。...,/t为终止指定的进程和由它启用的子进程 4. powershell poweshell为windows自带的一种更深入系统内部的命令行脚本环境,可以通过相应的命令对进程进行查询及操作。...PowerShell 除非你想快速确认某些内容并且有写好的 powershell 脚本或者做自动化日志分析处理,不然不是很建议使用 powershell 查询日志 Windows PowerShell同样提供了日志查询的相关命令程序
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。 执行命令脚本时,将执行以下操作: ?...除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如: 1.Mykings 2.PowerGhost 3.PCASTLE 4....BULEHERO 5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。...另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。 ? 同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。...它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
whoami systeminfo Windows日志分析: 在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。...关键进程跟踪事件和说明,如: 4688 创建新进程 4689 进程终止 ?...Conhost.exe进程主要是为命令行程序(cmd.exe)提供图形子系统等功能支持。...4、权限维持 通过创建计划任务执行脚本后门,以便下次直接进入,使用以下命令可以一键实现: schtasks /create /sc minute /mo 1 /tn "Security Script"...这里涉及进程创建和对象访问事件,包括schtasks.exe进程的创建和Event ID 4698发现新建的计划任务。成功找到计划任务后门位置: ?
可以在 Windows PowerShell命令提示符下键入命令以找到可执行任务的命令。随后,可将这些命令保存到脚本或历史记录中,然后将其复制到文件中以用作脚本。...某些复杂工具(例如应用程序更新程序)会先将内部文件解包,然后才显示其帮助。如果使用的参数不正确,则该工具可能会忽略键入的内容,并自动开始执行任务。...使用新命令或参数时,通常无法使用已知的名称,而必须查找和了解新的名称。考虑到界面是如何从一个小工具集经过不断添加的新增功能发展而来,就很容易了解为何其结构会是非标准的。...大多数命令都是为管理操作系统或应用程序的元素(如服务或进程)构建的。这些命令有不同的名称,它们可能属于或不属于一个系列。...对于进程管理,Windows 使用 tasklist 命令来列出进程,并使用 taskkill 命令来终止进程。 但是不能使用 net start 命令来启动远程计算机上的服务。
病毒传播趋势图 被感染的主机会通过计划任务定时执行或直接执行PowerShell命令行,命令行下载执行PowerShell脚本。命令行的具体代码,如下图所示: ?...下载的脚本会创建计划任务运行PowerShell命令行,从而进一步在被感染的新机器上进行挖矿和病毒传播。...在新感染的机器上创建计划任务 同时在if.bin脚本中,病毒还会定时停止和删除主机上的一些服务、计划任务和其他的挖矿程序,为自身挖矿腾出资源空间。具体代码,如下图所示: ?...当该文件下载完成之后,脚本便会运行Invoke-ReflectivePEInjection.ps1将解压后的挖矿程序注入进PowerShell进程。相关代码如下图所示: ?...m6.bin 解压恶意程序并将其注入PowerShell进程相关代码如下图所示: ?
收集日志:用户可以手动收集CSV和EVTX格式的日志,或者使用本文后面讨论的powershell脚本来自动提取所需的日志。...powershell脚本即可。...]检测计划任务操作 [T1047]使用WMI远程运行命令 [T1082]系统信息发现 [T1117]使用Regsvr32绕过应用程序白名单 禁止进程连接到互联网 检测系统中正在运行的Psexec 检测到禁止连接到互联网的进程...使用安全日志检测系统审核策略更改 使用安全日志检测计划的任务创建 使用安全日志检测计划的任务删除 使用安全日志检测计划的任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows...实时保护配置已更改 使用Windows Defender日志禁用检测Windows Defender扫描的恶意软件 检测使用计划任务日志注册的计划任务 检测使用计划任务日志更新的计划任务 检测使用计划任务日志删除的计划任务
计划任务方式 计划任务是一个很棒的后门方法,因为根本不需要用户交互,不需要高的权限,普通用户也可以写,是一款易于使用的方法。...它是一个在PowerShell启动时运行的脚本,你可以使用配置文件作为登录脚本来自定义环境,你可以添加命令,功能,别名,模块等。...PowerShell配置文件脚本存储在文件夹“ WindowsPowerShel”中,默认情况下对用户隐藏。如果有效负载已放入磁盘,则可以使用。...执行过程不会像上面的示例那样在系统上创建新进程,而是使用现有的PowerShell进程,更为隐蔽。...cmdlet“ Invoke-Command ”的用法中允许执行命令,所以regsvr32方法可以用作隐藏选项,因为它可以规避未正确配置的应用程序白名单解决方案,并且可以从远程执行scriptlet。
恢复备份 恢复备份前,先终止游戏进程。通过开始菜单或搜索框搜索打开任务管理器。 在任务管理器中找到名为“Pal”的进程,选中并右键单击,再点击“结束任务”。...定时备份 4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。 4.2 点击右侧边栏的【创建任务】,开始创建定时任务。 4.3 在创建任务的窗口,配置以下内容。...在【程序或脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。 4. 完成以上设置,点击确认,创建定时任务。 5....点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。 6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...恢复备份 4.1 恢复备份前,先终止游戏进程。通过开始菜单或搜索框搜索打开任务管理器。 在任务管理器中找到名为“Pal”的进程,选中并右键单击,再点击“结束任务”。
计划任务后门 计划任务在Windows 7 及之前版本的操作系统中使用at命令调用,在从Windows 8 版本开始的操作系统中使用schtasks命令调用。...metsaploit中模拟计划任务后门 使用Metasploit的powershell Payload Delivery 模板,可以模拟攻击者在目标系统中快速建立会话的行为。...使用PowerShell版本的PowerSploit渗透测试框架的Persistence模块,可以模拟生成一个自动创建计划任务的后门脚本上传到目标后,导入脚本 Import-Module ....\Persistence.psm1 如下命令,使用计划任务的方式创建后门。...其基本原理为:将代码加密存储于WMI中,实现无文件;当设定的条件被满足时,系统将自动启动PowerShell进程去执行后门程序,执行后,进程将会消失,实现无进程。
安装和配置Windows PowerShell: Windows PowerShell 是Windows操作系统中的一个内置功能,用户只需在“控制面板-程序和功能”中选择“启用或关闭Windows功能”...进程管理: Windows PowerShell 中的进程管理命令包括“Get-Process”、“Stop-Process”、“Start-Process”等。...用户可以通过这些命令查看、终止和启动进程。...定时任务: Windows PowerShell 可以通过“Task Scheduler”定时任务管理器实现定时任务的自动化执行,例如备份数据、清理磁盘、定时运行脚本等。...用户可以在定时任务管理器中创建任务,指定执行时间和执行脚本等相关参数,实现定时任务的自动化执行。
此外,由于分析正常的PowerShell 和恶意PowerShell需要一定时间,最好对于经常使用的脚本和PowerShell进程建立一个基准,帮助过滤,从而发现可疑的cmd.exe和混淆命令。...当试图创建新的服务和新的进程时,建议查看日志中的事件4697、7045和4688。 4、16%:计划任务 报告指出,攻击者使用计划任务来建立持久性。...企业应该检查计划任务是否被设置为以系统身份运行,因为这是最典型的攻击配置。此外,还有核查事件ID 106和140记录何时创建或更新任务。...企业需要监控PowerShell.exe或Cmd.exe是否被“不寻常方式”地使用,但因为恶意活动看起来与正常的管理任务非常相似,导致这种攻击可能很难审查。...建议设置使用PowerShell的政策,并且只使用签名的脚本执行。
收集日志:用户可以手动收集CSV和EVTX格式的日志,也可以使用本文后面讨论的powershell脚本自动提取所需的日志。...如何使用APT-Hunter 要做的第一件事是收集日志,使用powershell日志收集器可以轻松地自动收集所需的日志,而您只需以管理员身份运行powershell脚本即可。...运行脚本 [T1218.005]检测到系统中正在运行的Mshta [T1053]检测计划任务操作 [T1047]使用WMI远程运行命令 [T1082]系统信息发现 [T1117]使用Regsvr32绕过应用程序白名单...使用安全日志检测系统审核策略更改 使用安全日志检测计划的任务创建 使用安全日志检测计划的任务删除 使用安全日志检测计划的任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows...实时保护配置已更改 使用Windows Defender日志禁用检测Windows Defender扫描的恶意软件 检测使用计划任务日志注册的计划任务 检测使用计划任务日志更新的计划任务 检测使用计划任务日志删除的计划任务
" /user:administrator #查看当前ipc连接: net use 然后执行命令: dir \ \\192.168.75.131\c$ 当然有了权限,当然得拿shell了 1.1 at计划任务拿...shell(管理员权限) 因为要设置计划任务,可能需要对照时间,当然你如果想每分钟就执行一次,就当我没说。...命令如下: sc \\[主机名/IP] create [servicename] binpath= "[path]" #创建计划任务启动程序 sc \\WIN-ENS2VR5TR3N create...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象的实例表现如下: 客户端计算机从远程计算机请求实例化由CLSID表示的对象。...由于64位进程无法加载32位inproc对象,因此64位Outlook无法与该对象进行交互。
领取专属 10元无门槛券
手把手带您无忧上云