需求:银行电脑无法自动开机,只能 通过 应用相关服务每天自动重启的方式实现 服务更新并且防止服务假死,内存过大 等情况 相关工具:win10系统中,使用windows自带的任务计划程序 和 bat脚本...: 总体步骤在:https://www.cnblogs.com/rgcLOVEyaya/p/RGC_LOVE_YAYA_1075_days.html,此次只说明 需要注意点,如下: 1.触发器 添加 触发规则...,设置触发频率 及 触发时间如下图: ?...2.操作 中 分别添加 执行python,redis 的bat脚本(注意一个任务最好只操作一个程序,本人尝试一个任务2个程序,发现第一次触发条件时第二个程序不执行) ?...3.设置中 选择 停止现有实例(停止旧的实例,执行新的实例)。 ? 通过此方式便可得到效果:如下图: ? ?
通过Windows计划任务,用户可以: 定时运行程序:在指定的日期和时间,自动运行特定的应用程序、脚本或命令行工具。...用户可以设置任务的触发条件、执行操作、设置任务的运行时期、安全选项等,可以通过Win + R键,打开运行对话框,输入"taskschd.msc",然后点击"确定",即可打开"任务计划程序",在该应用程序中...操作设置:根据操作类型,你可以指定要运行的可执行文件或脚本文件的路径,以及传递给该程序的参数。 条件(Conditions): 开始条件:你可以设置任务只有在满足一定条件时才开始执行。...运行任务时是否停止所有实例:如果任务已经在运行,你可以选择启动一个新的实例时是否停止已有的任务。 如果任务运行时间超过,停止任务:你可以设置任务的最大运行时间,并在超过该时间时停止任务的执行。...Action: 代表计划任务的动作,用于设置计划任务要执行的操作,如运行程序、调用 PowerShell 脚本等。
计划任务方式 计划任务是一个很棒的后门方法,因为根本不需要用户交互,不需要高的权限,普通用户也可以写,是一款易于使用的方法。...Powershell配置文件: PowerShell配置文件是一个PowerShell脚本,您可以对其进行自定义,并将其特定于会话的元素添加到您启动的每个PowerShell会话中。...它是一个在PowerShell启动时运行的脚本,你可以使用配置文件作为登录脚本来自定义环境,你可以添加命令,功能,别名,模块等。...PowerShell配置文件脚本存储在文件夹“ WindowsPowerShel”中,默认情况下对用户隐藏。如果有效负载已放入磁盘,则可以使用。..." -Append 这样当PowerShell在系统上再次启动时,将执行该文件,并且代理将与命令和控件进行通讯。
上一篇文章讲解了Powershell通过交互环境运行命令的相关知识,今天给大家介绍实际工作当中使用最频繁的方式——通过脚本运行,简单来说就是和咱们实际编写代码一样,先编写代码,然后通过开发工具执行。...同样的为了实现PowerShell脚本的保存、方面在别的服务器迁移,一般都是先编写脚本,然后通过脚本文件执行完成相应的运维任务。...命令格式:PowerShell ps1脚本文件完整路径4、通过Windows计划任务执行PowerShell脚本PowerShell 脚本默认无法执行,需要先修改 PowerShell 执行策略(ExecutionPolicy...首先打开Windows任务计划程序创建一个计划任务打开创建计划任务常规选项卡,然后输入名称和描述,具体如下图:切换到触发器选项卡,设置每五分钟执行一次。...切换到操作选项卡,新建操作设置执行脚本文件powershell添加参数 F:\桌面\test.ps1然后就可以正常运行该计划了。
攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序...该病毒获取到用户名或密码时,无论是爆破还是抓取到的用户名密码,通过IPC$登陆后,对中病毒机器执行以下命令进行远程下载执行,同时设置端口转发,将来自65532端口的流量转发到1.1.1.1地址的53端口...释放powershell脚本文件并执行mimikatz模块,运行mimi操作后,释放了另一个配置文件 ? mkatz.ini文件中为抓取到的用户密码hash值 ?...判断当前环境是否在域中,由于测试机未加入域,此操作失败。 ? 释放PowerShell脚本并执行,命令行参数为 ? 判断自身所在的路径,如果不是则拷贝自身到当前用户的缓存目录中再次启动: ?
但是在某些情况下,操作系统中依然存在一些没有得到有效保护的服务 系统服务权限配置错误(可写目录漏洞)有如下两种可能。 1.服务未运行:攻击者会使用任意服务来替换原来的服务,然后重启服务。...通过at命令发布的定时任务计划,Windows默认以System权限运行。...然后在Metasploit中搜索trusted_service_path模块 ? 4 自动安装配置文件 网络管理员在内网中给多台机器配置同一个环境时,通常不会逐台配置,而会使用脚本化批量部署的方法。...可以在metasploit中利用这个漏洞: ? 5. 计划任务 AccessChk用于在windows中进行一些高级查询、管理和故障排除工作。由于它是微软官方提供的工具,所以杀毒软件不会有告警。...如果黑客对以高权限运行的任务,所在的目录具有写权限,那么就可以使用恶意程序覆盖原有的程序。这样,在计划任务下次执行的时候,就会以高权限运行恶意程序。
192.168.63.130:6379>CONFIG GET dir 192.168.63.130:6379>CONFIG GET dbfilename #### 2.攻击的几种方法 ##### (1).利用计划任务执行命令反弹...0x02:Powershell反弹shell Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。...它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。...一旦攻击者可以在一台计算机上运行代码,他们便可以下载powershell脚本文件(.ps1)到磁盘执行,脚本可以在内存中运行(无文件化)。...正向连接或者反向连接shell,其参数如下: - IPAddress 反向连接时设置的IP - Port 正向连接时设置的端口,前面要写上-Bind参数 - Reverse 反向连接 - Bind 正向连接
更改系统保护或者高级系统设置 五、UAC触发流程 在触发 UAC 时,系统会创建一个consent.exe进程,该进程通过白名单程序和用户选择来判断是否创建管理员权限进程。...4、利用计划任务Bypass UAC 前提:当前用户必须可以访问图形化界面 在命令行输入计划任务 SCHTASKS /Create /sc DAILY /TN bypassUAC /TR cmd.exe...win + r打开运行命令,输入 taskschd.msc 找到刚刚添加的计划任务,然后右键打开,选择属性 ?...如果选择此选项,则在对系统进行更改时(例如安装软件程序或对Windows设置进行直接更改时),它将始终通知您。当显示UAC提示符时,其他任务将被冻结,直到您响应为止。...这种技术的另一个好处就是不以管理员的身份运行。即使你拥有该设备,在执行需要的任务时,也要以标准用户的身份工作,并根据需要提升它们的权限。
2.防范措施 针对粘滞键后门,可以采取如下防范措施 1.在远程登录服务器时,连续按5次“shift”键,判断服务器是否被入侵 2 注册表注入后门 在普通用户权限下,攻击者会将需要执行的后门程序或者脚本路径填写到注册表键...计划任务的后门分为管理员权限和普通用户权限两种,管理员权限的后门可以设置更多的计划任务。...中模拟计划任务后门 使用Metasploit的powershell Payload Delivery 模板,可以模拟攻击者在目标系统中快速建立会话的行为。...中模拟计划任务后门 使用PowerShell版本的PowerSploit渗透测试框架的Persistence模块,可以模拟生成一个自动创建计划任务的后门脚本上传到目标后,导入脚本 Import-Module...其基本原理是:将代码存储存储于WMI中,达到要求的“无文件”;当设定的条件被满足时,系统将自动启动PowerShell进程去后门程序,执行后,进程将消失(持续根据后门的运行情况而定时间,一般是几秒)。
这里我把计划任务目录可写也放在这里,因为计划任务也算系统服务功能。...简介:windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的时间执行程序或脚本(在大多数情况下,计划任务是以NT Authority\System高权限执行的),...如果地权限用户对计划任务所在目录有读写权限,完全可以替换计划任务所执行的脚本或程序,获得高权限(但需要错误配置,让此目录下其他用户可写)。...UAC如何运行? UAC通过阻止程序执行任何涉及有关系统更改/特定任务的任务来运行。除非尝试执行这些操作的进程以管理员权限运行,否则这些操作将无法运行。...,其目的不是确定程序是否是恶意软件,而是在没有用户许可下对恶意软件的未授权行为进行掌控。
这里我把计划任务目录可写也放在这里,因为计划任务也算系统服务功能。...简介:windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的时间执行程序或脚本(在大多数情况下,计划任务是以NT AuthoritySystem高权限执行的),如果地权限用户对计划任务所在目录有读写权限...,完全可以替换计划任务所执行的脚本或程序,获得高权限(但需要错误配置,让此目录下其他用户可写)。...UAC如何运行? UAC通过阻止程序执行任何涉及有关系统更改/特定任务的任务来运行。除非尝试执行这些操作的进程以管理员权限运行,否则这些操作将无法运行。...,其目的不是确定程序是否是恶意软件,而是在没有用户许可下对恶意软件的未授权行为进行掌控。
当试图创建新的服务和新的进程时,建议查看日志中的事件4697、7045和4688。 4、16%:计划任务 报告指出,攻击者使用计划任务来建立持久性。...企业应该检查计划任务是否被设置为以系统身份运行,因为这是最典型的攻击配置。此外,还有核查事件ID 106和140记录何时创建或更新任务。...7、6%:文件或信息混淆 在攻击者希望隐藏其行动时,会使用诸如Base64编码之类的工具隐藏其攻击过程。...建议设置使用PowerShell的政策,并且只使用签名的脚本执行。...9、4%:系统服务 攻击者使用Windows Service Manager运行命令或安装服务。 10、4%:重命名伪装 攻击者通过重命名系统工具程序来绕过控件和检测。
何为powershell执行策略 PowerShell 是一个跨平台的任务自动化解决方案,由命令行 shell、脚本语言和配置管理框架组成。...windows为powershell设计了一个名为Execution Policy,即执行策略的东西来决定哪些类型的PowerShell脚本可以在系统中运行。...•运行从 Internet 下载且未签名的脚本(如果脚本未阻止,例如使用Unblock-Filecmdlet)。•有运行来自互联网以外来源的未签名脚本和可能是恶意的签名脚本的风险。...•此执行策略设计用于将 PowerShell 脚本内置到更大应用程序中的配置,或用于将 PowerShell 作为具有自己的安全模型的程序的基础的配置。...当直接运行该脚本在Restricted(限制)执行策略的机器上时,会出现“此系统禁止运行脚本”的错误。
他们利用此漏洞下载并执行了一个xml文件,其中包括一个用于下载和执行脚本的PowerShell命令。...该脚本执行多项操作,例如下载XMRig及其配置文件,并将XMRig重命名为sysupdate,为更新过程安排任务,并确认矿机正在运行。 ?...2、执行过程 在1的请求包中,威胁人员执行了wbw.xml文件,该文件会下载并执行1.ps1文件: ? ? PowerShell命令如下: ? ?...接着,脚本下载并执行xmrig,将其重命名为sysupdate,并利用SchTasks来设置计划任务来运行update.ps1,遗憾的是,在目录中并未发现该脚本,但是假设威胁人员会重新访问,则在需要时他们将会再次下载该脚本...4、影响: 服务器的CPU已达到100%的极限,会对系统环境造成非常严重的影响,在撰写本文时,用于采矿的钱包几乎没有东西。 ?
利用tasklist命令查看PID,锁定程序为PowerShell恶意脚本文件(这个应该是内网扫描脚本,可能是通过计划任务来定时调动此脚本,可以删除此脚本后排查一下任务计划项),直接kill掉。...在使用netstat -ano查看网络状态连接命令和任务计划,也查看到了公网的地址,放到微步的上查看,果然不出所料,是挖矿的矿池地址。 注意一下,哦?柠檬鸭?驱动人生后门?...然后就是重启,再次检查一遍powershell、启动项、计划任务、服务、网络状态、影子用户(像挖矿病毒很少留影子用户的,但是最好也检查一遍),半个小时-一个小时网络状态没有异常,到这里处置已经做完了,很水...3.禁用administrator账号,为跳板机用户专门设置新的账号。 4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。...安装补丁时应对服务器系统进行兼容性测试。 2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
HKEY_LOCAL_MACHINE\SOFTWARE$77config”中,并且可以在未提权状态下由任何进程写入。...无文件持久化 Rootkit将驻留在系统内存中,不会将任何文件写入磁,这种机制是分多个阶段实现的。 阶段一 安装程序为32位和64位r77服务创建两个计划任务。...计划任务确实需要存储名为77svc64.job的文件,这是无文件概念的唯一例外。但是,一旦Rootkit运行,计划任务也会通过前缀隐藏。...计划任务将使用下列命令开启“powershell.exe”: [Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey...父进程被设置为了winlogon.exe以增加欺骗性(模糊性)。另外,这两个进程被ID隐藏,在任务管理器中不可见。 磁盘上从未存储可执行文件或DLL。
通过组策略运行指定脚本添加隐藏用户 在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的...“启动”选项,打开“启动属性”窗口: 操作系统启动时自动运行该脚本,使用net user命令查看未发现hacker用户,但通过net user hacker查看该用户时发现它确实存在: 但在本地安全策略中可看到...SharPersist 计划任务(schtasks.exe)(作业) schtasks.exe 用于在windows系统中指定任务计划,使其能在特定的事件日期执行程序和脚本。...示例 schtasks /create /tn/tr /sc <什么时候运行 如 o 创建计划任务启动notepad(需要管理员权限) 对应的可以在 _Task Scheduler...查看 在svchost进程下成功创建了notepad进程 当使用指定账户创建运行计划任务时,当前用户必须具有与之相对或者更高的权限 (使用管理员账户以ystem权限运行计划任务失败) 创建新服务(
病毒传播趋势图 被感染的主机会通过计划任务定时执行或直接执行PowerShell命令行,命令行下载执行PowerShell脚本。命令行的具体代码,如下图所示: ?...漏洞攻击或是暴破成功后,被感染的主机均会从C&C服务器下载PowerShell脚本直接进行执行或者创建计划任务定时执行,下文中不再赘述。...下载的脚本会创建计划任务运行PowerShell命令行,从而进一步在被感染的新机器上进行挖矿和病毒传播。...永恒之蓝漏洞传播 漏洞利用或是暴破成功后执行远程命令行或运行可执行文件。远程命令行或可执行文件功能基本一致,可以在被感染的新主机上创建计划任务下载执行恶意脚本。具体代码,如下图所示: ?...在新感染的机器上创建计划任务 同时在if.bin脚本中,病毒还会定时停止和删除主机上的一些服务、计划任务和其他的挖矿程序,为自身挖矿腾出资源空间。具体代码,如下图所示: ?
bat的绝对路径:c:\test.bat userinit后门 在用户进行登陆时,winlogon运行指定的程序。...运行gpedit.msc进入本地组策略,通过Windows设置的“脚本(启动/关机)”项来说实现。...容易遇到的问题:脚本需全路径,如 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 0x03 计划任务 通过window系统的任务计划程序功能实现定时启动某个任务...计划脚本每 1 分钟运行一次。 ? 0x04 服务自启动 通过服务设置自启动,结合powershell实现无文件后门。...0x08 远程控制 远控木马是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。远程访问木马通常与用户请求的程序(如游戏程序)一起,是一种看不见的下载,或作为电子邮件附件发送。
在日常的系统维护和管理过程中,计划任务的设定与管理显示出不可忽视的重要性。它允许我们按照预定的时间或条件自动运行特定的程序或脚本,从而大大提高了系统管理的效率和准确性。...Windows PowerShell,作为一款功能强大的脚本自动化工具,为我们提供了一种高效、灵活的方式来管理 Windows 系统中的计划任务。...主动运行与修改计划任务 在某些情况下,我们可能需要主动运行或修改计划任务。...在未来的工作中,我们可以继续探索 PowerShell 和计划任务管理的更多可能,为我们的系统管理工作带来更多的便利和效率。...通过本文的探讨,我们不仅可以更加清晰地理解 PowerShell 在计划任务管理中的应用,同时也能够更好地把握计划任务的核心概念和应用方法,为我们在实际工作中更好地利用这些工具和概念提供了有益的参考。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
