前几天腾讯云到期了 , 进行服务器迁移 , 利用镜像重装了系统 , 但是有些命令没有自动启动 , 需要进行手动启动 我安装了elasticsearch服务 , 但是找不到原服务器该命令安装目录了 , 新服务器也没法启动这个服务..., 所以就用lsof来看看 先查进程id ps aux|grep search ?...看到该进程打开的文件路径 , 可以确定是在/usr/share/elasticsearch 下 ? 到/usr/share/elasticsearch目录下就看到bin目录了 , 直接执行 ?
然后我就花了半个小时用Powershell重命名所有视频名称了,解决了只需2分钟就能手动改完,或3秒钟就能拖字幕进播放器的需求。...我的需求是将 Yahari Ore S2 集数 [BD 1920x1080 HEVC-10bit OPUS ASSx2] 更换为 [Kamigami&VCB-Studio] Yahari Ore no...这里第二条就是,通过Rename-Item新增了的-LiteralPath功能,实现更改含有正则关键字的(此处为方括号)文件。 通过match的方式,应该还可以把两条合并成一条的。...hhhh 我就算了,请大家指教更好的方式。 没有系统学习,就会导致这种事情的出现呀。hhhhh 这里给一个比较批量重命名通用的模板吧。...','更改的内容')}
如何在Linux下快速找到Java进程启动的JAR文件在线上环境中,当CPU占用率异常高时,经常需要定位到是哪个Java进程导致的,并进一步找到该进程启动的JAR文件。...你可以使用ls -l /proc/[PID]/cwd来查看该目录的内容,并手动查找JAR文件。...使用jps -l命令可以列出带有JAR文件或类名的Java进程。方法三:使用pgrep命令pgrep命令用于查找与给定模式匹配的进程,并打印出它们的PID。...这通常包括启动Java进程的完整命令,包括JAR文件的路径。总结/proc文件系统提供了关于进程的详细信息,但可能需要手动查找JAR文件。...在实际使用中,你可以根据具体情况选择最适合你的方法。如果只需要快速查看正在运行的Java进程及其启动的JAR文件,jps命令通常是最简单直接的选择。
\SafeDogSiteApache\SafeDogSiteApache.exe" //启动正常程序 然后快捷方式链接换成这个bat文件的链接,这样将会即执行了反弹shell,又会执行正常程序,能有效降低管理员的怀疑...Powershell配置文件: PowerShell配置文件是一个PowerShell脚本,您可以对其进行自定义,并将其特定于会话的元素添加到您启动的每个PowerShell会话中。...它是一个在PowerShell启动时运行的脚本,你可以使用配置文件作为登录脚本来自定义环境,你可以添加命令,功能,别名,模块等。..." -Append 与启动进程类似,“ Invoke-Item ” cmdlet可用于执行项目的默认操作,即运行文件,打开应用程序等。...执行过程不会像上面的示例那样在系统上创建新进程,而是使用现有的PowerShell进程,更为隐蔽。
子文件或子文件夹 /proc/buddyinfo 每个内存区中的每个order有多少块可用,和内存碎片问题有关 /proc/cmdline 启动时传递给kernel的参数信息 /proc/cmdline...启动时传递给kernel的参数信息 /proc/crypto 内核使用的所有已安装的加密密码及细节 /proc/devices 已经加载的设备并分类 /proc/dma 已注册使用的ISA DMA频道列表...目录中进程N的信息 /proc/N pid为N的进程信息 /proc/N/cmdline 进程启动命令 /proc/N/cwd 链接到进程当前工作目录 /proc/N/environ 进程环境变量列表.../proc/N/root 链接到进程的根目录 /proc/N/stat 进程的状态 /proc/N/statm 进程使用的内存的状态 /proc/N/status 进程状态信息,比stat/statm...更具可读性 /proc/self 链接到当前正在运行的进程 实例 分别查找当前主机占用CPU和占用内存最大的进程,要求能查出进程PID,启动目录,启动命令,占用文件描述符数量,占用端口等。
查看快捷方式的属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹中,因此暂存器将在下一次Windows登录中执行,并且将与命令和控制服务器建立连接。...默认情况下,此模块将使用写字板图标伪装成可信任的应用程序。 ? 快捷方式的目标字段将使用执行Base64有效负载的PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。...将这些快捷方式放置在启动文件夹中以保持持久性将是一个微不足道的过程,因为假定已经存在与命令和控制服务器的通信。 lnk2pwn是用Java编写的工具,可用于制作恶意快捷方式。...Empire-写字板快捷方式快捷方式的目标字段将使用执行Base64有效负载的PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。...将这些快捷方式放置在启动文件夹中以保持持久性将是一个微不足道的过程,因为假定已经存在与命令和控制服务器的通信。lnk2pwn是用Java编写的工具,可用于制作恶意快捷方式。
1、在有网络的前提下,可以通过百度www.baidu.com来进行搜索文件。首先进行介绍一下什么是cdn,百度百科介绍如下: 2、使用js文件有几种方式。...首先到对应的官网上找到对应的文件,然后下载下来,接着把它导入编译器器中,建立一个第三方文件夹,把它引入进来即可使用该文件。有第三方网址,也有官方网址。...(使用第三方插件) (1)点进相关的网址之后是这样的。 (2)使用在线链接在网址输入栏中粘贴上去,回车,就可以看到相关的全部内容。...接着在编译器中要使用该js文件,直接新建一个js文件,然后粘贴上去就可以使用。 3、使用第三方库官方网址,可以下载对应的插件,离线安装使用,之前上面的介绍是在线使用。使用哪一种方式都可以。...适合自己的就是最好的。
在编程和数据处理过程中,我们经常需要查找文件中是否存在重复的行。Go 语言提供了简单而高效的方法来实现这一任务。...在本篇文章中,我们将学习如何使用 Go 语言来查找文本文件中的重复行,并介绍一些优化技巧以提高查找速度。...countMap,用于存储每个行文本及其出现次数。...优化技巧如果你需要处理非常大的文件,可以考虑使用以下优化技巧来提高性能:使用 bufio.Scanner 的 ScanBytes 方法替代 Scan 方法,以避免字符串拷贝。...使用布隆过滤器(Bloom Filter)等数据结构,以减少内存占用和提高查找速度。总结本文介绍了如何使用 Go 语言来查找文本文件中的重复行。我们学习了如何读取文件内容、查找重复行并输出结果。
,那么我们可以使用 EventSentry 终止那些在命令行中使用 -version 2参数的 powershell 进程。...如果攻击者试图使用 PS v2.0 引擎启动恶意 PowerShell payload,那么 EventSentry 几乎会立即终止该 powershell.exe 进程。...散弹枪方法 通过上面的方式无法满足所有需求,比如通过快捷方式调用 PowerShell V2 而不是命令行。...我们注意到 Windows Powershell 的事件 ID 是 400,当这个事件启动时会告诉 EngineVersion字段现在启动的 powershell 版本信息,例如:当启动 PowerShell...通过其他二进制文件执行 PowerShell 代码的想法可能与维持权限的人有关,下载另一个二进制文件肯定没有默认安装的 PowerShell 有优势,但是攻击者在前期可能会使用内置的 Powershell
那里有几种不同的横向移动技术,我将尝试从高层次的概述中介绍大的以及它们如何工作,但在介绍这些方法之前,让我们澄清一些术语。 命名管道:一种进程通过 SMB (TCP 445) 相互通信的方式。...PowerShell 启动。...从攻击者的角度来看,这用于编译 C# 代码以生成恶意二进制文件或有效负载,甚至直接从 XML 文件运行有效负载。....url 文件 Regsvr32 注册服务器用于注册和注销注册表的 DLL。...这只是我记录一些我不知道的事情并弄清楚事情是如何运作的。
在这篇文章中,我们将看到使用这些命令按内存和 CPU 使用率显示正在运行的进程的ps命令。 在 Linux 中,ps 代表进程状态。...按内存和 CPU 使用情况查看正在运行的进程 到目前为止,我们已经了解了ps命令是什么、它是如何工作的,以及如何通过 Linux 上的 ps 命令查看整体状态。...我们现在将检查机器上正在运行的进程的 CPU 和内存使用情况。请执行下面给出的以下 ps 命令以查看 Linux 机器上正在运行的进程的内存或 RAM 使用情况。...如何查看更多命令选项 到目前为止,我们已经通过了一些最常用的 ps 命令来查看 Linux 系统上的内存和 CPU 使用情况下正在运行的进程。...$ man ps $ ps --help 但是,您也可以尝试使用默认的系统监控工具来检查文件系统使用情况、内存使用情况和 CPU 使用情况。
1.在 PS 6 之前 sc 是 Set-Content cmdlet 的别名, 因此若要在 ps6 之前的 PowerShell 版本中运行 sc.exe 命令,必须使用包含文件扩展名 exe的完整文件名...Tips : Get-Help 也可用于帮助查找 PowerShell 相关命令,但与 Get-Command 相比它采用不同且较为间接的方式。...格式设置文件 一个 PS XML 文件,它具有 .format.ps1xml 扩展名且定义 PS 如何基于对象的 .NET Framework 类型来显示对象。...主机应用程序 将 PS 引擎加载到其进程中并使用它执行操作的程序。 输入处理方法 Cmdlet 可用于处理其以输入形式所接收的记录的一种方法。...PS数据文件 具有 .psd1 文件扩展名的文本文件。 PS 将数据文件用于多种用途,例如存储模块清单数据和存储用于脚本国际化的已翻译的字符串。 PS驱动器 一个提供直接访问数据存储的虚拟驱动器。
: wevtutil qe /f:text "windows powershell" 查找指定数量的日志内容: wevtutil qe /f:text "windows powershell" /c:...快捷方式的参数隐藏技巧 将payload放置在260个空字符之后,这样无法在文件属性查看payload,可以用来在快捷方式中隐藏payload,欺骗用户点击,隐蔽执行代码 参考: 《渗透技巧——快捷方式文件的参数隐藏技巧...配置文件 修改powershell配置文件,后门在powershell进程启动后触发 查看是否使用配置文件: Test-Path $profile 创建配置文件: New-Item -Path $profile...Tips 50 mklink 用于创建符号链接,可理解为快捷方式 创建目录c:\test\1,指向c:\temp,可使用以下操作: (1) 使用/D参数命令创建一个链接: mklink /D "c:\test...\1" "c:\Temp" (2) 使用/J参数命令创建一个联接: mklink /J "c:\test\1" "c:\Temp" 差异: 使用/D参数创建的链接,文件属性多了"快捷方式" 使用/J不需要管理员权限
发现报错 无法启动PASV传输,那我们加个 --no-passive 使用FTP的被动模式。...7z l -slt Access\ Control.zip 参数说明: l:用于显示压缩文件的信息 Slt:属于l下的子命令用来显示压缩文件的技术信息 ?...压缩文件使用AES-256 Deflate进行加密的,我们把密码的HASH提取出来到时候破解用。...我们在看下另一个文件。 ? 是一个access的数据库文件,里面应该会出现用于解压压缩文件的密码。你可以用工具打开查看里面的数据一个一个找找到需要的密码。 ?...这里我要说一下就是这里创建的快捷方式是存在内存里面的,在调用这个函数的SAVE函数之前,这个快捷方式是存在内存里面的,我们只是需要这个ZKAccess3.5Security System.lnk里面的详细工整的信息只是通过这个方式查看而已
简单的说,符号链接就是快捷方式,不过和快捷方式不同的是,符号链接会被识别为真实的文件或者文件夹。...而快捷方式这个东西,如果你在Windows下用过命令行的话,应该可以注意到快捷方式只是一个特殊的文件,它有自己的文件扩展名lnk。...正因为此,如果你将一个软件的重要目录移走,然后用那个目录的快捷方式替换它,那么这个软件是无法正常运行的。但是如果你用符号链接替换它的话,软件是可以正常运行的,就像从来没有移动过这个文件夹一样!...好了,说了这么多,下面就来看看如何使用符号链接这个功能吧!在cmd和powershell中都有对应的创建符号链接的命令,不过这里我只介绍powershell的命令。...,但是启动器还以为游戏在原来的位置。
autocheck autochk *,用于系统启动时的某些自动检查。...直观的理解:系统在启动时默认启动进程explorer.exe,explorer.exe会调用shell32.dll,加载COM对象MruPidlList 此类型的后门多次被恶意软件使用:comRAT,ZeroAccess...waitfor.exe 使用Process Explorer查看后台可疑的cmd.exe和powershell.exe进程的启动参数 (3)bitsadmin bitsadmin.exe是windows...替换我的电脑快捷方式启动参数 https://github.com/Ridter/Pentest/blob/master/powershell/MyShell/Backdoor/LNK_backdoor.ps1...这就是为什么在watchdogs挖矿木马中使用top、ps等命令无法发现挖矿进程的原因,这种后门推荐使用静态编译的ls、ps等命令或者busybox进行查找。
,而这种链接跟快捷方式是不一样的。...---- 0x00 背景介绍:mklink mklink 可以像创建快捷方式一样建立文件或文件夹的链接,但不同于快捷方式的是,mklink 创建的链接绝大多数程序都不会认为那是一个链接,而是一个实实在在的文件或文件夹...使用方式 适用于 快捷方式小箭头 不带参数 文件 有 /D 文件夹 有 /J 文件夹 有 /H 文件 无 上面的表格顺序,从上到下的行为从越来越像快捷方式到越来越像两个独立的文件夹。...这时,使用管理员权限启动 cmd 是最简单的做法。不过也可以考虑在 本地安全策略(secpol.msc)\本地策略\用户权利分配 中添加当前用户。...欢迎转载、使用、重新发布,但务必保留文章署名 吕毅 (包含链接: https://walterlv.com ),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布
用户开机后每次运行特定的快捷方式文件时触发一段恶意的powershell 代码,原始应用程序仍然启动,原始图标保留,并且没有powershell.exe窗口弹出。...1、安装后门 这次需要用到powershell攻击框架Empire,使用Empire/data/module_source/persistence/Invoke-BackdoorLNK.ps1这个脚本...-LNKPath是要利用的lnk的路径,每次打开这个lnk文件时都会执行原始的应用程序和 -EncScript后面的恶意powershell代码 先通过empire生成反弹的powershell代码 ....看到以上界面就代表后门安装完成 当我们运行navicat快捷方式的同时 可以看到powershell.exe已经悄悄的链接empire ?...4、总结 利用快捷方式去攻击,已经是一个很老的话题了,但是有时候渗透中添加启动项/服务/任务计划失败的情况下可以尝试用此方法,劫持一个经常使用的程序快捷方式,达到权限维持的效果,windows下基于powershell
有时候我们可能仅仅需要搜索或者过滤部分文件。 首先,如果是比较简单的需求,可以使用?*通配符来搞定,问号用于匹配任意单个字符,星号用于匹配任意多个字符。...下面同样是查找所有.md格式的文件,不过这次使用了Where-Object和正则表达式,其中Where-Object里面的$_是形式变量,代表每次迭代的文件。...比方说,我现在想查找大于5kb的所有.md格式文件,那么就可以这么写。这里又用到了Powershell的一个方便的特性,文件大小单位,KB GB MB TB等单位都支持。...不再使用的时候一个一个关闭它们也是一件麻烦事情,所以官方文档还为我们介绍了如何关闭除当前窗口外的所有Powershell进程。...每个Powershell进程都有一个变量$PID,用于标志当前进程的进程号,利用这一点我们就可以实现这个功能。这里的-WhatIf参数表示不真正关闭进程,仅列出将要关闭的进程。
文档打开后,进程监控工具竟然没有发现有恶意进程执行。 Word文档前后的对比如下所所示。...很明显,恶意文档打开后使用了一个干净的文档替换原来的文档内容,一是使恶意文档不重复进行感染,二是更好的隐蔽保护自身。 ?...因此,wird.exe程序非常简单,就是负责完成快捷方式的相关操作,启动werd.exe,恢复桌面,自删除。成功运行后,用户桌面将恢复原样。...同时,%appdata%目录下只剩下winhex.exe(其实就是werd.exe,修改为第一次双击的感染桌面快捷方式对应的进程名,本次实验环境使用的是winhex,所以werd.exe改名为winhex.exe...文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。不像以往恶意宏会直接执行恶意负载,作者利用感染用户桌面快捷方式的途径来达成进程启动目的。
领取专属 10元无门槛券
手把手带您无忧上云