开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在VBA中使用CreateProcess和Powershell启动进程时，Set-ItemProperty找不到路径

的问题可能是由于以下几个原因导致的：

路径错误：首先需要确认Set-ItemProperty操作的路径是否正确。请检查路径是否存在、是否拼写正确，并确保路径中不包含特殊字符或空格。
权限问题：如果路径是一个受限制的目录或文件，可能会导致Set-ItemProperty找不到路径。请确保当前用户具有足够的权限来访问和修改该路径下的文件或目录。
Powershell环境配置问题：在使用Powershell启动进程时，需要确保系统中已正确配置Powershell环境。请检查Powershell是否已正确安装，并且在系统环境变量中配置了正确的Powershell路径。

解决该问题的方法可以有以下几种：

检查路径：仔细检查Set-ItemProperty操作的路径是否正确，确保路径存在且拼写正确。如果路径中包含特殊字符或空格，可以尝试使用引号将路径括起来。
检查权限：确保当前用户具有足够的权限来访问和修改路径下的文件或目录。可以尝试使用管理员权限运行VBA代码或修改路径的权限设置。
检查Powershell环境配置：确认系统中已正确安装Powershell，并且在系统环境变量中配置了正确的Powershell路径。可以尝试手动运行Powershell命令，检查是否能够正常执行。

如果以上方法无法解决问题，可以尝试使用其他方法或工具来实现相同的功能，例如使用其他编程语言的库或框架，或者使用VBA的其他功能来替代Set-ItemProperty操作。具体选择可以根据实际需求和项目要求进行决定。

腾讯云相关产品和产品介绍链接地址：

腾讯云函数（云原生、服务器运维）：https://cloud.tencent.com/product/scf
腾讯云数据库（数据库）：https://cloud.tencent.com/product/cdb
腾讯云CDN（网络通信）：https://cloud.tencent.com/product/cdn
腾讯云安全产品（网络安全）：https://cloud.tencent.com/solution/security
腾讯云音视频处理（音视频、多媒体处理）：https://cloud.tencent.com/product/mps
腾讯云人工智能（人工智能）：https://cloud.tencent.com/product/ai
腾讯云物联网（物联网）：https://cloud.tencent.com/product/iotexplorer
腾讯云移动开发（移动开发）：https://cloud.tencent.com/product/mobdev
腾讯云对象存储（存储）：https://cloud.tencent.com/product/cos
腾讯云区块链（区块链）：https://cloud.tencent.com/product/baas
腾讯云虚拟专用网络（网络通信）：https://cloud.tencent.com/product/vpc
腾讯云云服务器（服务器运维）：https://cloud.tencent.com/product/cvm

请注意，以上链接仅供参考，具体产品选择应根据实际需求进行评估和决策。

相关搜索:使用"roslaunch“启动节点时，在ROS中读取配置或数据文件的默认路径在哪里？使用gevents Wsgi服务器在一个进程中多次启动和停止flask应用程序使用PowerShell在计划任务中启动和停止FTP站点使用用户凭据和隐藏窗口在Powershell v2中启动进程使用用户名和密码在C#中启动进程会抛出"拒绝访问"异常使用退出的事件启动时，在C#中启动sqlcmd进程不起作用在Python3中使用多进程BaseManager和池时的竞争条件我如何正确地在我的应用程序中运行定时进程，当应用程序在使用中或在后台停止时，它将启动？运行docker容器时出错:启动容器进程导致"exec：\"python\"：在$PATH中找不到可执行文件“：未知微信小程序消息通知

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

11.反恶意软件扫描接口 (AMSI)

AMSI 的工作原理当用户执行脚本或启动 PowerShell 时，AMSI.dll 被注入进程内存空间。在执行之前，防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。...创建 PowerShell 进程后，AMSI.DLL 将从磁盘加载到其地址空间。在 AMSI.DLL 中，有一个称为 AmsiScanBuffer() 的函数，本质上是用于扫描脚本内容的函数。...Office VBA + AMSI 当然amsi也可以检测vba和Java script 在实战中，使用宏攻击（钓鱼）也是我们常用的手法，所以我们要知道amsi对宏文件的检测流程在微软文档中我们可以看到...我们可以看一个例子来理解amsi检测查杀vba的流程：跟powershell一样我们也使用远程加载powershell恶意代码。这样更贴近实战。...该协议允许 VBA 运行时向反病毒系统报告它即将执行的某些高风险代码行为，并允许反病毒在观察到的行为序列表明可能存在恶意活动时向进程报告，以便 Office应用程序可以采取适当的行动。

4.3K2 0

Windows中常见后门持久化方法总结

映像劫持这个和shift后门差不多，只不过在低版本的windows中，我们可以简单地替换程序，但是在高版本的windows版本中替换的文件受到了系统的保护，所以这里我们要使用另外一个知识点：映像劫持。...PS：来自百度百科简单来说就是当目标程序被映像劫持时，当我们启动目标程序时，启动的是劫持后的程序而不是原来的程序操作也很简单，在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft...定时任务 windows下定时任务的命令有两个分别是：at和schtasks，他们两者主要区别是at命令在win7、08等高版本的windows中是不能将任务在前台执行的，也就是只会打开一个后台进程，而...用户登陆初始化 Userinit的作用是用户在进行登陆初始化设置时，WinLogon进程会执行指定的login scripts，所以我们可以修改它的键值来添加我们要执行的程序注册表路径为：HKLM\SOFTWARE...这个和CRL劫持.NET程序类似，也是通过修改CLSID下的注册表键值，实现对CAccPropServicesClass和MMDeviceEnumerator的劫持，而系统很多正常程序启动时需要调用这两个实例

2.6K2 1

C#.NET 中启动进程时所使用的 UseShellExecute 设置为 true 和 false 分别代表什么意思？

在 .NET 中创建进程时，可以传入 ProcessStartInfo 类的一个新实例。在此类型中，有一个 UseShellExecute 属性。...本文介绍 UseShellExecute 属性的作用，设为 true 和 false 时，分别有哪些进程启动行为上的差异。...---- 本质差异 Process.Start 本质上是启动一个新的子进程，不过这个属性的不同，使得启动进程的时候会调用不同的 Windows 的函数。...不过，此方法有一些值得注意的地方：不支持重定向输入和输出最终启动了哪个进程可能是不确定的，你可能需要注意潜在的安全风险而 CreateProcess 则会精确查找路径来执行，不支持各种非可执行程序的打开...但是：支持重定向输入和输出如何选择 UseShellExecute 在 .NET Framework 中的的默认值是 true，在 .NET Core 中的默认值是 false。

9712 0

powershell学习备忘

最近的错误是该数组中的第一个错误对象 ($Error[0])。 $False 包含 FALSE。可以使用此变量在命令和脚本中表示 FALSE，而不是使用字符串”false”。...可以对 $ForEach 变量的值使用枚举数的属性和方法。此变量仅在运行 For 循环时存在，循环完成即会删除。 $Home 包含用户的主目录的完整路径。...$Profile 包含当前用户和当前主机应用程序的 Windows PowerShell 配置文件的完整路径。可以在命令中使用此变量表示配置文件。...可以在 Windows PowerShell 文件的路径中使用此变量。...Powershell支持四个作用域：全局、当前、私有和脚本。有了这些作用域就可以限制变量的可见性了，尤其是在函数和脚本中。

12.4K6 0

windows权限维持(二)

注册表类：普通注册表后门在一般用户权限下，通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run...这种行为由注册表管理，该注册表定义在Windows登录期间启动哪些进程。所以我们可以依靠这个注册表来进行权限维持。...因为他在启动时会默认加载oci.dll，SQLLib80.dll和xa80.dll。Windows系统默认不包含oci.dll。...我们将后门dll将其重命名为oci.dll，并将其放置在%SystemRoot%\system32\中，那么重启时，就会加载我们的dll，然后得到一个session。...WMI在渗透测试中的价值在于它不需要下载和安装，因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生，不会留下任何痕迹。

1.6K2 0

QBot恶意软件深度解析

实际情况是恶意宏（VBA代码）在后台执行，并调用Document_Open函数，在“C:\Users\Public\”中创建“tmpdir”文件夹。然后将QBot有效负载下载到此文件夹中。...PowerShell代码在循环中选择五个URL之一，将有效载荷文件888888.png（EXE文件）下载到“ C:\Users\Public\tmpdir\”中。...执行Payload “ file1.exe”是受保护的有效负载，启动时将QBot提取到内存中并执行。...当由PowerShell启动时不提供任何参数，它会转到非参数分支，该分支首先使用命令行参数“ /C”生成自身子进程。 ? “/C”功能用于检查它是否在分析环境中运行。...使用WMI运行QBot是比直接调用CreateProcess来保护进程更好。WMI由Windows进程“wmiprvse.exe”处理，该进程随后执行mavrihvu.exe。 ?

1.7K3 0

权限维持方法小结

结合上面powershell中的msf方法，可以达到无文件后门效果： Powershell实现： Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT...事实上在该过程中，Windows还会在注册表的上述路径中查询所有的映像劫持子键，如果存在和该程序名称完全相同的子键，就查询对应子健中包含的"dubugger"键值名，并用其指定的程序路径来代替原始的程序...直观的理解：系统在启动时默认启动进程explorer.exe，explorer.exe会调用shell32.dll，加载COM对象MruPidlList 此类型的后门多次被恶意软件使用：comRAT，ZeroAccess.../3gstudent/Waitfor-Persistence 检测及查杀留意后台进程waitfor.exe 使用Process Explorer查看后台可疑的cmd.exe和powershell.exe...从技术上说，获取其它的进程并修改它一般是通过操作系统提供的调试接口来实现的，在linux中具有调试功能的工具有ptrace、Gdb、radare2、strace等，这些工具都是使用ptrace这个系统调用来提供服务的

3.2K1 0

Windows系统安全|Windows中获取用户密码

读取域控上所有域用户的Hash值使用PowerShell命令抓取内存中的密码 PwDump7抓取密码 HashQuarksPwDump抓取密码Hash 通过SAM和System...，当然他最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码， lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略，通常我们在登陆系统时输入密码之后，...注：但是在安装了KB2871997补丁或者系统版本大于windows server 2012时，系统的内存中就不再保存明文的密码，这样利用mimikatz就不能从内存中读出明文密码了。...::lsa /patch 3 使用PowerShell命令抓取内存中的密码读取密码明文(需要管理员权限) #远程读取 powershell IEX (New-Object Net.WebClient...在日常网络维护中，通过查看注册表项Wdigest，可以判断Wdigest功能的状态。如果该项的值为1，用户下次登录时，攻击者就能使用工具获取明文密码。

2.5K2 1

PHP后门隐藏技巧

1、隐藏文件使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。...attrib +s +a +h +r shell.php //隐藏shell.php文件 2、修改文件时间属性当你试图在一堆文件中隐藏自己新创建的文件，那么，除了创建一个迷惑性的文件名，还需要修改文件的修改日期...> 4、不死马不死马会删除自身，以进程的形式循环创建隐蔽的后门。 <?...5、中间件后门将编译好的so文件复制到modules文件夹，启动后门模块，重启Apache。当发送特定参数的字符串过去时，即可触发后门。...，常用于页面公共头部和尾部，也可以用来隐藏php后门。

1.5K2 0

权限维持分析及防御

5次“shift”键，判断服务器是否被人侵拒绝使用sethc.exe或者在“控制面板”中关闭“启用粘滞键”选项 2、注册表注入后门在普通用户权限下可以将后门程序或脚本路径填写到启动项注册表中，当系统管理员登录系统时触发后门...当设定的条件被满足时，系统将自动启动Powershell进程去执行后门程序，执行后进程将会消失，达到所谓的“无进程” Empire下有WMI相关的模块可以使用 usemodule powershell/...System权限，可以使用该方法进行持久化操作： LSA（Local Security Authority）用于身份验证 lsass.exe作为Windows的系统进程，用于本地安全和登陆策略在系统启动时...，SSP将被加载到lsass.exe进程中假如攻击者对LSA进行了扩展，自定义了恶意的DLL文件，在系统启动时将其加载到lsass.exe进程中，就能够获取lsass.exe进程中的明文密码，这样即使用户更改的密码并重新登陆...将HookPasswordChange.dll注入内存，在目标系统中启动管理员权限的powershell： . .

1K1 0

2018-8-23-Process执行路径

我们可以通过Process开启一个进程，但是如果通过这个进程再开启另一个进程时，就容易发生错误。...4、为了确认发现了什么事情，我们在脚本中添加Pause ? ?...其他的坑发现是路径问题后，我们会想那么在打开非当前所在路径的进程时会不会有同样问题呢？ 5、我们将PowerShell的当前路径移动到上级目录，然后运行2.bat ? ?...可以看到2.bat执行路径仍为PowerShell的当前路径。...将启动的工作目录调整到目标进程的工作目录，以非RunAs方式启动这种方式可以解决PowerShell的问题，但是如果是在C#中使用，或者必须要求目标进程以管理员权限启动时就很尴尬了。

8832 0

疫情期间竟然还有这种病毒？解密古老而又神秘的宏病毒

很少有人会把".doc"文件和黑客手中的杀人利器联系起来。然而，事实正好相反。上世纪90年代，就有"宏病毒"出现，病毒制造者利用word的特性，在文档中内嵌破坏性的程序。...宏病毒中常用的自动执行方法有两种：一种是用户执行某种操作时自动执行的宏，如Subbotton(),当用户单击文档中的按钮控件时，宏自动执行；另一种则是Auto自动执行，如SubAutoOpen()和Sub...AutoClose()，分别在文档打开和关闭时自动执行。... \%ComSpec%一般指向你cmd.exe的路径宏病毒的防御手段安装杀毒软件，打全系统补丁禁用宏越过自动宏（如果怀疑文档中存在宏病毒，可以在Office打开文档的时候，始终按住Shift键...在最基础的水平上，我们可以使用 Empire 或 Unicorn 来创建一个 VBA 宏： (实际情况，使用empire可以成功反弹shell；使用Unicorn显示生成payload的代码版本不兼容office2016

5.5K3 0

Windows黑客编程技术详解 --第四章木马启动技术（内含赠书福利）

本章介绍了3种常用的病毒木马启动技术，它包括： q 创建进程API：介绍使用WinExec、ShellExecute以及CreateProcess创建进程。...4.1 创建进程API 在一个进程中创建并启动一个新进程，无论是对于病毒木马程序还是普通的应用程序而言，这都是一个常见的技术，最简单的方法无非是直接通过调用WIN32 API函数创建新进程。...如果此值为NULL，则使用当前的工作目录。如果在lpFile中提供了相对路径，请不要对lpDirectory使用相对路径。 nShowCmd [in] 指定应用程序在打开时如何显示标志。...在Windows XP、Windows Server 2003，以及更老版本的Windows操作系统中，服务和应用程序使用相同的会话（SESSION）来运行，而这个会话是由第一个登录到控制台的用户来启动的...PE结构使用导入表来记录PE程序中所有引用的函数及其函数地址。在DLL映射到内存之后，需要根据导入表中的导入模块和函数名称来获取调用函数的地址。

3.8K5 0

干货 | Office文档钓鱼之如何快速进行宏免杀

宏是 Office 自带的一种高级脚本特性，通过 VBA 代码，可以在 Office 中去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。...Visual Basic for Applications（VBA）是 Visual Basic 的一种宏语言，是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...可以隐藏 VBA 宏，踩 VBA 代码（通过 P 代码）并混淆宏分析工具。在 Linux，OSX 和 Windows 上运行。...脚本保存退出，命名为 2.vba 然后按住 shift,点击鼠标右键即可在当前路径下打开 cmd 窗口 EvilClippy.exe -s 2.vba 233.docm 记得重新命名下，这里我重新命名为帝国时代...VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域 WriteProcessMemory 写入某一进程的内存区域 CreateProcess 创建一个新的进程和它的主线程，这个新进程运行指定的可执行文件

2.6K2 0

IIS自动发布脚本

目的：使用powershell脚本的方式实现自动化在iis部署网站的功能。 1.使用管理员身份运行powershell ?...(Test-Path IIS:\AppPools\$siteName)) { New-Item -path IIS:\AppPools\$siteName } Set-ItemProperty...sourceFile=$siteName+".zip" #[System.IO.Compression.ZipFile]::ExtractToDirectory($sourceFile,$siteName) #启动网站...Write-Host "start website" Start-Website -Name $siteName #启动应用程序池 Write-Host "start webAppPool" Start-WebAppPool...-Name $siteName Write-Host "$siteName successfully started" 这里设置的是一个空站点，可以自己设置文件路径；这里的路径是 $physicalPath

1.6K1 0

钓鱼免杀？Miss？怎么可能？

在红蓝对抗或者国家某活动中，钓鱼是红队比较常见的攻击手段。通常的钓鱼手段包括exe文件的投递，自解压文件的投递，office系文件的投递等等。...工具特点：本次使用的是VBS调用powershell执行命令的方式进行上线，程序执行成功后会在系统内存运行，不产生exe等可执行文件后台进程，减少被查杀的风险；而且当excel程序被受害者关闭后，仍然可以正常上线...，无需要excel进程一直后台启动。...防止被杀毒厂商记录MD5值和特征码。...文件的使用很简单，3vilMacro.exe [你刚刚复制的powershell脚本链接]。3秒钟后会在本路径下生成一个sourceVba.txt的文件。文件里面的内容就是加密后的VBA脚本 ?

1.5K3 0

Office如何快速进行宏免杀

宏是 Office 自带的一种高级脚本特性，通过 VBA 代码，可以在 Office 中去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。...Visual Basic for Applications（VBA）是 Visual Basic 的一种宏语言，是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...可以隐藏 VBA 宏，踩 VBA 代码（通过 P 代码）并混淆宏分析工具。在 Linux，OSX 和 Windows 上运行。...把这两个下载回来即可使用方法： EvilClippy.exe -s hello.vba diaoyu.doc 参数说明：-s 参数是通过假的 vba 代码插入到模块中，用以混淆杀毒程序，这里我们需要写一个正常...VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域 WriteProcessMemory 写入某一进程的内存区域 CreateProcess 创建一个新的进程和它的主线程，这个新进程运行指定的可执行文件

4.2K3 0

Powershell快速入门（三）实战应用

New-Item –Path $path –Name HelloKey 如果要修改项的属性，使用Set-ItemProperty命令。...这是因为默认启动的实例是隐藏的，要显示Excel的窗口的话，将它设置为可见即可。 $excel.Visible=$true 如果要打开一个现成的工作簿，使用Open函数。...\t分隔，注意Powershell中的转义字符使用的这个特殊字符。...这里推荐使用Powershell ISE，因为自动补全可以显示所有类型的图标，只需要修改一下图表类型并观察Excel中图标类型的变化就可以明白类型和图标的对应关系了。...使用它，我们可以在没有安装Excel的情况下编辑Excel文件。首先需要安装它，可以利用Powershell的包管理器方便的安装。

3.7K10 1

VC 调用外部程序接口

返回ERROR_PATH_NOT_FOUND找不到指定路径　　样例: WinExec("Notepad.exe", SW_SHOW); // 打开记事本 WinExec("D:\\Program...lpCommandLine, // 参数行　　　 //下面两个参数描述了所创建的进程和线程的安全属性，如果为NULL则使用默认的安全属性　　　　LPSECURITY_ATTRIBUTES... 　　　　LPSTARTUPINFO lpStartupInfo, // 用于在创建子进程时设置各种属性　　　　LPPROCESS_INFORMATION lpProcessInformation...//用于在进程创建后接受相关信息　　　　); 评论: 　　system()，主要用在DOS环境下. 　 ...CreateProcess(),目前最强劲的进程函数，通过设置StartupInfo结构体参数，来设置子进程的属性，子进程创建后的信息也保存在ProcessInformation结构体中，便于操作，功能强大

1.1K2 0

DVenom：一款功能强大的Shellcode加密封装和加载工具

功能介绍 1、支持绕过某些热门反病毒产品； 2、提供了多种加密方法，包括RC4、AES256、XOR和ROT； 3、可以生成C#、Rust、PowerShell、ASPX和VBA形式的源代码； 4、采用了不同的...C#、Rust、PowerShell、ASPX和VBA代码；工具部署工具部署广大研究人员可以使用下列方式将项目源码拷贝到本地设备中，并在本地设备上部署和使用DVenom。...首先，我们需要使用下列命令将该项目源码克隆至本地： $ git clone https://github.com/zerx0r/dvenom 然后切换到项目目录中： $ cd dvenom 使用go build...、ps1、aspx和vba； -m：指定方法类型，支持的类型有valloc、pinject、hollow和ntinject； -procname：提供需要注入的进程名称，默认为“explorer”；...-scfile：提供shellcode文件的路径地址；（右滑查看更多）工具使用样例下列命令可以生成包含加密Shellcode的C#源代码： .

2591 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭