如何在远程PowerShell脚本完成后使进程保持活动状态？

在远程PowerShell脚本完成后使进程保持活动状态，可以通过以下步骤实现：

使用PowerShell的Start-Process命令启动需要保持活动状态的进程。例如，启动一个名为"myprocess.exe"的进程：
使用PowerShell的Start-Process命令启动需要保持活动状态的进程。例如，启动一个名为"myprocess.exe"的进程：
使用PowerShell的Wait-Process命令等待进程启动并运行。例如，等待进程名为"myprocess.exe"的进程：
使用PowerShell的Wait-Process命令等待进程启动并运行。例如，等待进程名为"myprocess.exe"的进程：
在远程PowerShell脚本的最后，使用一个无限循环来保持脚本的执行。可以使用while循环，并设置条件为真，以确保脚本持续执行。例如：
在远程PowerShell脚本的最后，使用一个无限循环来保持脚本的执行。可以使用while循环，并设置条件为真，以确保脚本持续执行。例如：

通过以上步骤，远程PowerShell脚本执行完毕后，进程将保持活动状态。请注意，这种方法可能会导致资源占用过高，因此在实际应用中需要根据具体情况进行调整。

推荐的腾讯云相关产品：腾讯云云服务器（CVM）

产品介绍链接地址：https://cloud.tencent.com/product/cvm

腾讯云云服务器（CVM）是腾讯云提供的弹性计算服务，可满足各种规模和业务需求。您可以在云服务器上运行远程PowerShell脚本，并保持进程活动状态。腾讯云云服务器提供高性能、可靠稳定的计算资源，适用于各种应用场景。

相关·内容

四十二.Powershell恶意代码检测系列 (3)PowerSploit脚本渗透详解

这些特点使得PowerShell在获得和保持对系统的访问权限时，成为攻击者首选的攻击手段，利用PowerShell的诸多特点，攻击者可以持续攻击而不被轻易发现。...、vbs相互调用可扩展性好，它可以用来管理活动目录、虚拟机产品等平台 2.PowerShell基本概念 (1) PS1文件一个PowerShell脚本其实是一个简单的文本文件，这个文件包含了一系列PowerShell...最大的例外是，如果PowerShell脚本文件刚好位于你的系统目录中，那么在命令提示符后直接键入脚本文件名即可运行，如 ....(1) 下载远程PowerShell脚本绕过权限执行调用DownloadString函数下载远程的ps1脚本文件。...powershell进程中，或反射地将DLL注入远程进程 Invoke-Shellcode.ps1 将shellcode插入您选择的进程ID或本地PowerShell中 Invoke-WmiCommand.ps1

3K3 0

四十六.Powershell和PowerSploit脚本攻防万字详解

这些特点使得PowerShell在获得和保持对系统的访问权限时，成为攻击者首选的攻击手段，利用PowerShell的诸多特点，攻击者可以持续攻击而不被轻易发现。...最大的例外是，如果PowerShell脚本文件刚好位于你的系统目录中，那么在命令提示符后直接键入脚本文件名即可运行，如 ....(1) 下载远程PowerShell脚本绕过权限执行调用DownloadString函数下载远程的ps1脚本文件。...');xx.ps1 远程加载PowerShell脚本读取明文密码（需要管理员权限）。...powershell进程中，或反射地将DLL注入远程进程 Invoke-Shellcode.ps1 将shellcode插入您选择的进程ID或本地PowerShell中 Invoke-WmiCommand.ps1

4481 0

围绕PowerShell事件日志记录的攻防博弈战

通过Windows远程管理（WinRM）服务实现其远程处理功能，因此以下两个事件日志还捕获远程PowerShell活动： • Microsoft-Windows-WinRM/Operational.evtx...Windows PowerShell.evtx 每次在PowerShell执行单个命令时，不管是本地会话还是远程会话都会产生以下日志： • 事件ID 400：引擎状态从无更改为可用，记录任何本地或远程PowerShell...活动的开始； • 事件ID 600：记录类似“WSMan”等提供程序在系统上进行PowerShell处理活动的开始，比如”Provider WSMan Is Started“； • 事件ID 403：引擎状态从可用状态更改为停止...• 事件ID 6：在客户端系统上的远程处理活动开始时记录。包括系统连接的目标地址； • 事件ID 169：在访问系统的远程处理活动开始时记录。...处于活动状态时，涉及远程命令执行安全相关的事件ID如下： • 事件ID 32850：记录为远程处理进行身份验证的用户帐户； • 事件ID 32867/32868：记录在PowerShell远程处理期间进行的每个

1.7K1 0

Powershell与威胁狩猎

PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中，这些进程可以制作成可执行的文件或脚本（script）。...PowerShell模块日志可以配置为记录所有的PowerShell模块的活动情况，包括单一的PowerShell命令、导入的模块、远程管理等。可以通过GPO进行启用模块日志记录。...作为PowerShell 7的一部分，Microsoft在之前的日志记录基础上，增加了一种安全使用本地或远程存储中的凭据的方法，以便不需要将密码嵌入到脚本中。...Powershell日志说明事件ID 关联审计笔记 400 403 始终记录，无论记录设置如何引擎状态从无更改为可用，记录任何本地或远程PowerShell活动的开始； 403 400 始终记录...，无论记录设置如何引擎状态从可用状态更改为停止，记录PowerShell活动结束。

2.6K2 0

围绕PowerShell事件日志记录的攻防博弈

• 极易混淆编码，PowerShell具备脚本类语言的特点，灵活多变，很容易配合多种混淆方法，对抗传统检测工具 • 良好的功能及适应性，满足多种攻击场景的需求：PowerShell内置远程管理机制，可用于远程命令执行...防御角度（蓝队视角）：通常PowerShell 2.0事件日志可以提供命令活动或脚本执行的开始和停止时间，加载的提供程序（指示正在使用的功能类型）以及发生活动的用户帐户。...每次在PowerShell执行时，不管是本地会话还是远程会话都会产生以下日志： • 事件ID 400：引擎状态从无更改为可用，记录任何本地或远程PowerShell活动的开始； • 事件ID 600：...记录类似“WSMan”等提供程序在系统上进行PowerShell处理活动的开始，比如”Provider WSMan Is Started“； • 事件ID 403：引擎状态从可用状态更改为停止，记录PowerShell...PowerShell模块日志可以配置为记录所有的PowerShell模块的活动情况，包括单一的PowerShell命令、导入的模块、远程管理等。可以通过GPO进行启用模块日志记录。 ?

1.4K3 0

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

像许多核心平台实用程序一样，PowerShell库很容易获得，因此也很容易实现，能够暴露任意进程中的完整PowerShell功能。那么该如何进行检测呢？进程监控是最普遍有效的技术。...除了PowerShell脚本的默认主机之外，脚本还可以在加载PowerShell框架库的其他进程中执行。要查看该行为，观察模块负载以及进行分析以提供其他上下文，从而为检测提供支持。 2....因此，攻击者需要找到替代方法来执行有效载荷并执行其他恶意活动，这是脚本相关技术日益流行的主要原因。...命令行界面可以通过远程桌面应用程序、反弹Shell会话等在本地或远程进行交互。执行的命令以命令行界面进程的当前权限级别运行，除非该命令进行进程调用，更改执行权限（例如计划任务）。...攻击者使用该技术通过使恶意可执行文件和软件看起来合法或预期来破坏机器和人工分析。伪装的实现范围很广，从简单地重命名可执行文件（从而让这些文件看起来更像是正常系统进程）到更复杂的方法（例如命令行欺骗）。

1.5K1 0

技术分享-持久性-WMI事件订阅

Windows Management Instrumentation (WMI) 使系统管理员能够在本地和远程执行任务。...WMI 是几乎所有 Windows 操作系统（Windows 98-Windows 10）中都存在的 Windows 的一部分，这一事实使这些攻击性活动远离蓝队的雷达。...然而，各种框架，如 Metasploit、Empire、PoshC2、PowerSploit 和多个 PowerShell 脚本和 C# 工具可用于自动化此技术，为代码执行提供不同的触发器和各种选项。...WMI-Persistence是另一个 PowerShell 脚本，它可以创建事件过滤器，在每次重新启动后 5 分钟内从远程位置执行基于 PowerShell 的有效负载。...Rahmat Nurfauzi开发了一个 PowerShell 脚本 ( WMI-Persistence )，它默认使用regsvr32方法执行任意命令，以便从远程服务器运行任意脚本。 .

2.7K1 0

权限维持分析及防御

sethc.exe 防范：在远程登录服务器时连续按5次“shift”键，判断服务器是否被人侵拒绝使用sethc.exe或者在“控制面板”中关闭“启用粘滞键”选项 2、注册表注入后门在普通用户权限下可以将后门程序或脚本路径填写到启动项注册表中...当设定的条件被满足时，系统将自动启动Powershell进程去执行后门程序，执行后进程将会消失，达到所谓的“无进程” Empire下有WMI相关的模块可以使用 usemodule powershell/...的渗透测试工具集成了框架、脚本（包括下载和执行、键盘记录、DNS、延时命令等脚本）和各种Payload 存在ASPX的“大马”在\nishang\Antak-WebShell目录下 2、Weevely...Restore Mode，DSRM）是Windows域环境中DC的安全模式启动选项每个DC都有一个本地管理员账户（也就是DSRM账号） DSRM的用途是：允许管理员在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库...的作用主要是跟踪安全主体控制用户链接资源时的访问权限 SID History是在域迁移过程中的一个属性，如果迁移后用户的SID改变了，系统会将其原来的SID添加到迁移后用户的SID History属性中，使迁移后的用户保持原有权限

1K1 0

CobalStrike 4.0 生成后门几种方式及主机上线后基础操作

executable（生成可执行攻击脚本） powershell（生成一个powershell的脚本） VBA（生成一个vba的脚本，使用mshta命令执行）这里借鉴一个网上的方法，生成一个powershell...脚本，Powershell命令，Ruby,Raw,免杀框架Veli中的shellcode等等… ?...⾯(VNC) 14. dllinject 反射DLL注⼊进程 15. dllload 使⽤LoadLibrary将DLL加载到进程中 16. download 下载⽂件 17. downloads 列出正在进...PowerShell执⾏命令 51. powershell 通过powershell.exe执⾏命令 52. powershell-import 导⼊powershell脚本 53. ppid Set...ssh连接远程主机 81. ssh-key 使⽤密钥连接远程主机 82. steal_token 从进程中窃取令牌 83. timestomp 将⼀个⽂件的时间戳应⽤到另⼀个⽂件 84. unlink

3.3K1 0

Quantum 构建工具使用新的 TTP 投递 Agent Tesla

Quantum Builder 能够创建恶意文件，如 LNK、HTA 与 PowerShell，最后投递 Agent Tesla。...解密后的 PowerShell 脚本是一个 Downloader，通过远程服务器下载 Agent Tesla，再使用 CMSTP 绕过 UAC 以管理权限执行。...【HTA 主要函数】解密出来的 PowerShell 脚本如下所示：【解密 PowerShell 代码】解密完成后，恶意函数就会通过 CreateObject() 创建一个 Wscript.Shell...【恶意 INF 文件】将 INF 文件写入临时目录后，PowerShell 代码会生成一个新进程 cmstp.exe，并以 /au $InfFileLocation作为参数，然后安装恶意 INF 文件...该脚本将 [ENTER] 按键发送到活动的窗口应用程序，以便使用 SendKeys.SendWait() 函数自动执行。

1.5K2 0

WMIC使用浅析

wmic process list brief #列出所有进程，Full显示所有、Brief显示摘要、Instance显示实例、Status显示状态 wmic process get name,...如果对方主机开启了135和445，但是未开启admin$共享，则一直处于连接状态。 wmiexec.vbs wmiexec.vbs脚本通过VBS调用wmic来模拟psexec的功能。...在运行 nc 等不需要输入结果但需要一直运行的进程时，如果使用 -persist参数，就不需要使用 taskkill 命令来远程结束进程了。...PowerSploit中的CodeExecution目录下，该脚本主要是通过powershell调用WMIC来远程执行命令，因此本质上还是利用WMIC。...在powershell命令行环境执行如下命令，可以以非交互式的方式执行命令，但不会回显执行结果。

1.9K1 0

微软Exchange服务器被黑客攻击以部署Cuba勒索软件

以下是三种工具的简单介绍： Wedgcut是一个通过PowerShell枚举活动目录的侦察工具，通常以名为“check.exe”的可执行文件的形式出现。...Bughatch是从C&C服务器获取PowerShell脚本和文件的下载器。为了逃避检测，它从远程URL加载到内存中。...Burntcigar是一个可以利用Avast驱动程序中的漏洞在内核级别终止进程的工具，该工具附带了Avast驱动程序，用于“自带脆弱驱动程序”攻击。...从那之后，Cuba逐步发展了针对面向公众服务漏洞的攻击，如Microsoft Exchange ProxyShell和ProxyLogon漏洞。...这一转变使Cuba攻击更加强大，但却也更容易被防御，因为早在几个月前修补那些漏洞的安全更新就已经发布。

8901 0

如何利用日志来监控和限制PowerShell攻击活动

下面给出的是一个简单的样例：其中，cmd.js是一个远程脚本，它能够从目标设备的内存中远程调用calc.exe，整个过程不会在硬盘中留下任何痕迹。...脚本或命令会通过命令行进程执行。...除此之外，如果cmd.exe是通过脚本来生成的，并且父进程是 winword.exe、mshta.exe、wscript.exe或wuapp.exe的话，那么脚本的内容就值得我们去仔细检查了。...创建了哪个进程； 2. 进程创建时传递了哪些命令行参数； 3. 父进程信息；接下来，我将会用一个Splunk样本来解释如何利用警报信息来检测可疑的PowerShell活动。...而此时，我们就需要记录事件ID 4688，然后过滤并记录下任何关于PowerShell进程创建的活动以及传递给PowerShell的命令行参数，并以此来检测可疑的PowerShell攻击活动。

2.2K5 0

PowerShell 降级攻击的检测与防御

因此，如果您启用了Module＆ScriptBlock 日志记录并且至少安装了最新的 PS v4，那么你会认为 powershell 的事件日志中记录了基本脚本的活动记录。...这并不一定是对的，任何脚本语言（Perl、Python 等）都是可以被攻击者利用，只是大多数解释器都没有 powershell 这样可用的日志记录功能，从而导致这些脚本显得没有 powershell...注意：由于 400 事件无法与活动进程相关联（400 事件不包含 PID），因此我们无法做到选择性的终止 powershell 进程，只会将所有 powershell 进程都终止，但是，我觉得这不是一个问题...规避如果攻击者使通过 powershell.exe 以外的二进制文件进行执行powershell 代码，仍然可以规避 powershell.exe 的检测规则，因为 powershell.exe 本质上是默认执行...但是，如果我们可以识别来自 4688 事件的恶意命令，那么我们就可以终止仅有问题的 powershell.exe 进程 - 其他潜在的（可能是良性的）powershell.exe 进程将保持不受干扰。

2.2K0 0

CrowdStrike | 无文件攻击白皮书

在内存中执行web shell，使攻击者能够使用Chopper用户界面，对web服务器执行任意命令。通过对web服务器的完全远程访问，攻击者通过执行编码的PowerShell命令，来窃取凭据。...第一步是从远程服务器下载脚本，将脚本直接加载到内存中，然后执行它。这个脚本反过来窃取了缓存在web服务器内存中的所有纯文本密码。在几秒钟内，攻击者获得了系统上所有帐户的多个用户名和密码。...粘滞键（Sticky Keys）是使攻击者无需登录凭据即可访问命令shell的注册表项。如下所示： ? 当设置为调试模式时，屏幕键盘允许具有远程访问权限的任何人，以系统权限打开命令行，而无需登录。...一些变体，如Kovter，使用了类似的注册表隐藏技术，来保持不被发现。Poweliks调用C2（命令和控制）服务器，攻击者可以从该服务器向受损系统发送进一步的指令。...在这类勒索软件中，恶意代码要么嵌入文档中以使用本机脚本语言（如宏），要么使用漏洞直接写入内存。然后，勒索软件使用合法的管理工具如PowerShell，来加密人质文件，而所有这些都不需要写入磁盘。

3.6K4 1

网络安全自学篇（十九）| Powershell基础入门及常见用法（一）

传统的CMD支持脚本编写，但扩展性不好，而Powershell类似于Linux shell，具有更好的远程处理、工作流、可更新的帮助、预定任务（Scheduled Job）、CIM等优点。...其次，Powershell可以获取计算机的服务详细信息、状态等。 ? 其显示结果如下图所示，采用动词+名词方式命名，比较清楚。 ?...方便支持面向对象支持和.net平台交互强大的兼容性，和cmd、vbs相互调用可扩展性好，它可以用来管理活动目录、虚拟机产品等平台 3.控制台和快捷键鼠标右键属性，可以对Powershell控制台进行编辑...包括协议、本地地址、外部地址、状态、PID（进程号）。 ? 查看网络配置信息 ? ? 打印路由信息 ? ? 自定义文件路径，打开应用程序 ?...(3) 运行Powershell脚本文件也类似。 ? 运行结果如下图所示： ? ? 那么，如何在CMD中运行Powershell文件呢？我们将demo.bat修改为如下内容，其中&表示运行。 ?

7.8K3 0

PS命令之操作系统远程管理及进程服务操作示例

Tips : Windows Server 平台上默认启用PowerShell远程处理, 通常不允许在计算机位于公用网络上时在Windows客户端版本上启用PowerShell远程处理，但是您可以使用SkipNetworkProfileCheck...# 2.如何在Windows操作系统的客户端版本上允许从公共网络进行远程访问,对于不同版本的Windows，防火墙规则的名称可能不同; # NetSecurity模块中的Set-NetFirewallRulecmdlet...Get-Process 命令 - 获取在本地计算机或远程计算机上运行的进程 Start-Process 命令 - 启动在本地计算机或远程计算机未运行进程 Stop-Process 命令 - 停止在本地计算机或远程计算机上运行的进程...Wait-Process 命令 - 使在本地计算机或远程计算机上运行的进程等待 Debug-Process 命令 - 调试本地计算机上运行的一个或多个进程。...的后台实例，该实例即使在关闭启动会话后仍保持活动状态。

7.2K4 0

如何在Ubuntu 16.04上使用Concourse CI设置持续集成管道

这就是所有数据进入持续集成系统以及如何在作业之间共享所有数据的方式。Concourse不提供任何在作业之间内部存储或传递状态的机制。...在这种情况下，我们指向hello_hapi位于的输入目录中的脚本hello_hapi/ci/scripts/run_tests.sh。接下来我们将创建此脚本。 完成后保存并关闭文件。...这些set选项修改了shell的默认行为，导致任何错误或未设置的变量停止脚本执行，并在执行时打印每个命令。这些有助于使脚本更安全，并为调试目的提供可见性。...完成后，保存并关闭文件。在继续之前，将新脚本标记为可执行文件，以便可以直接运行： chmod +x ci/scripts/run_tests.sh 我们的管道和所有相关文件现已定义。...作业完成后，完整输出将可用，作业应变为绿色：单击主页图标返回主管道屏幕。每个作业的绿色状态表示最新的提交已通过管道的所有阶段：管道将继续监视存储库，并在提交更改时自动运行新测试。

4.2K2 0

适用于渗透测试不同阶段的工具收集整理

https://github.com/SpiderLabs/Responder SessionGopher：是一个PowerShell工具，它使用WMI为远程访问工具（如WinSCP，PuTTY，SuperPuTTY...https://github.com/dafthack/MailSniper WMIOps：PowerShell脚本，它使用WMI在Windows环境中的本地或远程主机上执行各种操作。...https://github.com/huntergregal/mimipenguin PsExec：是一个轻型的 telnet 替代工具，它使您无需手动安装客户端软件即可执行其他系统上的进程，并且可以获得与控制台应用程序相当的完全交互性...https://github.com/AlsidOfficial/WSUSpendu Evilgrade ：一个模块化的脚本框架，使攻击者可以通过注射”evil”更新到不知道用户的更新。...https://etherpad.net/ 脚本 Aggressor脚本：大多数Cobalt Strike对话框和功能都是作为独立模块编写的，这些模块向Aggressor Script引擎提供了一些接口如

3.6K0 1

浅谈无文件攻击

因此，攻击者可能会滥用它来执行恶意操作，例如解码、运行或注入可执行有效负载，甚至实现整个勒索软件，如qkG。宏在Office进程的上下文中执行(，例如，Winword.exe)并使用脚本语言实现。...脚本与宏具有相同的优势，它们是文本文件(不是二进制可执行文件)并在解释器的上下文中运行(如wscript.exe、powershell.exe)，这是一个干净而合法的组件。...为了实现攻击的持久化，攻击者们将恶意代码写入注册表的RUN键值，调用合法的rundll32.exe程序执行JavaScript代码，使自己在重启后自动继续运行，并使用Powershell工具执行恶意脚本...防护手段禁用或限制系统内置的工具或脚本，如关闭Office文档的宏功能，禁用或限制Rundll32、Powershell、Mshta等程序的执行。...启用系统的安全设置，禁用不必要的服务或功能，如PowerShell、宏、WMI等，减少攻击的攻击面。使用行为分析技术，监测系统的异常行为，如进程注入、注册表修改、网络连接等，及时发现和阻止攻击。

1571 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云