如何查看运行在64位PowerShell系统上的32位进程中的dlls？

在64位PowerShell系统上查看运行的32位进程中的dlls，可以使用以下步骤：

打开64位PowerShell控制台，点击开始菜单，搜索"PowerShell"，选择"Windows PowerShell"。
使用以下命令获取正在运行的32位进程的进程ID（PID）：
使用以下命令获取正在运行的32位进程的进程ID（PID）：
这将列出所有正在运行的32位进程的名称和进程ID。
选择要查看的进程，使用以下命令获取该进程加载的dlls：
选择要查看的进程，使用以下命令获取该进程加载的dlls：
将"<进程ID>"替换为要查看的进程的实际进程ID。这将列出该进程加载的所有dlls的详细信息，包括名称、路径、版本等。

通过上述步骤，您可以查看运行在64位PowerShell系统上的32位进程中加载的dlls。请注意，这些命令仅适用于PowerShell环境，不涉及特定的云计算品牌商。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

关于Powershell 你要知道的知识！

1.背景及介绍在最初的时候，Powershell 是设计运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境。...在现在的版本中，PowerShell使用.NET Core 3.1作为其运行时。PowerShell在Windows，macOS和Linux平台上运行。...这些变量之一是 $PSVersionTable ，其中包含一个哈希表，可用于显示相关的PowerShell版本信息： 3.PS的帮助系统 PowerShell中的编译命令称为cmdlet。...如何在 PowerShell中使用数千个命令(cmdlet)，很好地使用帮助系统是使用PowerShell成功的关键。...-ShowWindow： 4 Providers of Powershell PowerShell中的provider是一个接口，允许像文件系统一样访问数据存储。

1.4K3 0

渗透测试与开发技巧

快捷方式的参数隐藏技巧将payload放置在260个空字符之后，这样无法在文件属性查看payload，可以用来在快捷方式中隐藏payload，欺骗用户点击，隐蔽执行代码参考：《渗透技巧——快捷方式文件的参数隐藏技巧.../LaZagne 当然，也可以修改LaZagne源码实现对其他应用的密码导出参考：《本地密码查看工具LaZagne中的自定义脚本开发》 ---- Tips 34....：使用py2exe 使用PyInstaller 使用方法和常见bug解决方法可参照参考链接参考：《本地密码查看工具LaZagne中的自定义脚本开发》 ---- Tips 38 普通用户权限向管理员权限的路径下写文件...Invoke-WScriptBypassUAC利用分析》 ---- Tips 39 在远程系统上执行程序的方法汇总常用方法： at psexec WMIC wmiexec smbexec powershell...13.0.5058中的权限漏洞测试》 ---- Tips 55 远程查看域控登录、注销相关的日志：方法1: wevtutil qe security /rd:true /f:text /q:"*[system

4.4K2 0

权限维持方法小结

注册表中默认存在两个注册表项：AppInit_DLLs和LoadAppInit_DLLs(win2003没有，但是可以新建)，Use***.dll被加载到进程时，会读取AppInit_DLLs注册表项...PS：xp系统会忽略LoadAppInit_DLLs注册表项严格来讲，此dll注入不是注入到所有运行进程，而是注入到加载Use***.dll的进程中 HKEY_LOCAL_MACHINE\SOFTWARE...\Windows NT\CurrentVersion\Windows\AppInit_DLLs 查看异常dll文件通过Process Explorer查看进程加载dll （8）文件关联文件关联就是指系统把指定扩展名的文件自动关联到相应的应用程序...事实上在该过程中，Windows还会在注册表的上述路径中查询所有的映像劫持子键，如果存在和该程序名称完全相同的子键，就查询对应子健中包含的"dubugger"键值名，并用其指定的程序路径来代替原始的程序...从技术上说，获取其它的进程并修改它一般是通过操作系统提供的调试接口来实现的，在linux中具有调试功能的工具有ptrace、Gdb、radare2、strace等，这些工具都是使用ptrace这个系统调用来提供服务的

3.2K1 0

Powershell 挖矿病毒处理与防范

中Powershell挖矿病毒后的现象当服务器感染了Powershell挖矿病毒后，通过交互式登录操作系统，利用ProcessExplorer.exe进程查看器进程，会发现Powershell.exe...处理Powershell挖矿病毒目前已经有一些防病毒厂商对Powershell挖矿病毒进行查杀，建议通过防病毒进行系统性的查杀，如果还没有防病毒的企业，或者您企业中的防病毒目前还无法查杀类似这种挖矿病毒的时候...详细步骤如下： 1.结束Powershell.exe进程由于服务器中了挖矿病毒后，整理反应会特别的慢，所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理（结束Powershell.exe...安全建议 1.系统层面服务器端：建立服务器投产标准化规范，安全基线(如：服务器上线之前，安全策略如何设置、补丁要求、防病毒、运维管理要求如何配置等) 定义服务器运维规范，安全要求，以及安全检查机制...推荐优质文章 1.这里有份选择云服务商的攻略，请查收… 2.嘉为蓝鲸CMP：跳出云管看云管 3.如何建设大型集团一体化IT运维系统 4.AD域整合的注意事项 5.

2.8K4 1

深入了解Windows PowerShell 自动化运维：基础知识、应用技巧和案例分享

介绍 Windows PowerShell 是一种用于自动化运维的强大工具，能够在Windows操作系统上执行各种管理任务。...第一部分：Windows PowerShell 的基础知识 Windows PowerShell 是一种基于命令行和脚本的自动化运维工具，能够在Windows操作系统上执行各种管理任务，包括系统管理、网络管理...进程管理： Windows PowerShell 中的进程管理命令包括“Get-Process”、“Stop-Process”、“Start-Process”等。...用户可以通过这些命令查看、终止和启动进程。...监控和报警： Windows PowerShell 可以通过“Event Viewer”事件查看器监控系统事件，例如磁盘空间不足、服务崩溃等，用户可以编写脚本实现对事件的监控和处理，例如发送邮件或短信进行报警

1.7K2 0

提前内置一些排障工具到Windows系统大有好处

downloads\procexp.exe wget http://live.sysinternals.com/procexp64.exe -Outfile r:\downloads\procexp64.exe 如何确认系统或业务进程加载了哪些...用procmon 左侧选System进程或业务进程，选择后点“view → Lower Pane View → Dlls (Ctrl+D)”，在下方会显示.sys、.dll procexp查看Privileges...pagefile 30G，太小可能不足以生成充分信息的.dmp文件；②收集时，需要在母机上注入nmi中断，触发Windows系统主动蓝屏并生成dump文件，过程中耐心等待不要人为干预机器状态直到恢复正常...的wget，powershell的wget实际是这个命令的简写invoke-webrequest 因为出现问题的时候powershell用不了，所以得准备一个cmd命令能用的下载工具，就是wget.exe...使用winsdksetup.exe和adksetup.exe（＜win10 2004的）都能在≥2012R2系统上安装Windows Performance Toolkit（含wpr.exe命令）。

3836 0

渗透测试神器CobaltStrike使用教程

cobaltstrike.auth：用于客户端和服务端认证的文件（建议自己有时间可以查看一下cs的源码） cobaltstrike.store：密钥证书存放文件 data：用于保存当前TeamServer...并且支持Powershell脚本，用于将Stageless Payload注入内存。复制 4.远控进行vnc，文件管理，进程查看等一系列操作。...（3）常用命令 argue 进程参数欺骗 blockdlls 在子进程中阻止非Microsoft的DLLs文件 ... dllload 使用LoadLibrary将DLL加载到进程中 download 下载文件 downloads...使用服务在主机上生成会话 psexec_psh 使用PowerShell在主机上生成会话 psinject 在特定进程中执行

3.5K2 0

如何升级PowerShell

背景：开发的PowerShell 脚本需要使用Invoke-RestMethod命令，发现在老的服务器上不支持这一命令，经过查询得知由于PS版本的问题。...涉及到了PS的升级，需要介绍下PowerShell的版本。发生错误如下： ? 简介：　　 Powershell是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境。 ...在“程序和功能”中，单击“查看已安装的更新”。 ...在“Windows 更新独立安装程序”对话框中，当询问您是否安装更新时单击“是”。在下载和安装更新向导中的“请阅读许可条款”页上，单击“我接受”。 ...总结：本文主要是介绍在windows 2008 或者7 如何升级powershell,碰巧遇到了问题，所以将这个方案记录下来，因为现在很多服务器都是2008r2 ，为日后的运维和升级提供依据参考。

8.6K12 0

Empire：PowerShell后期漏洞利用代理工具

PowerShell有很多攻击优势，包括完整的.NET框架的访问，应用程序白名单，可以直接访问Win32 API，在内存中加载恶意的二进制文件，并且默认安装在了Windows 7+中。...虽说有很多有用的项目，但是很多pentester仍然为将PowerShell以一种安全的方式整合在实际的攻击行为中而在努力。初始化安装运行....对于UserAgent和Proxy选项，默认使用的是系统默认的信息。...将生成的命令行在装有powershell的主机上执行，就会得到这个主机的一个powershell。如下图： ? 代理使用agents命令可以列出当前已激活的代理。.../agent.log文件中为代理通信记录着带有时间戳的命令和返回的结果的日志，并在Downloads/module 里分解成相关的文件。模块键入 usemodule 来查看可用的模块。

1.5K6 0

Bypass-UAC（用户帐户控制）的那些事

我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。 2.什么是用户帐户控制(UAC)？...如果管理员不允许更改，则不会执行这些更改，并且Windows系统保持不变。 3.UAC如何运行？ UAC通过阻止程序执行任何涉及有关系统更改/特定任务的任务来运行。...文件的加载顺序是程序所在目录系统目录即SYSTEM32目录 16位系统目录即SYSTEM目录PATH环境变量中列出的目录同时，dll加载也遵循着Know DLLs注册表项的机制：Know DLLs...此方法通常也被称为DLL侧加载（6）相对路径DLL劫持：将合法的应用程序复制（并有选择地重命名）与恶意的DLL一起放入到用户可写的文件夹中。在使用方法上，它与（签名的）二进制代理执行有相似之处。...4.Windows权限升级绕过UAC保护（通过Eventvwr注册表项）此模块将通过在当前用户配置单元下劫持注册表中的特殊键并插入将在启动Windows事件查看器时调用的自定义命令来绕过Windows

1.8K2 0

常规安全检查阶段 | Windows 应急响应

7821 0

如何利用DCOM实现横向渗透

长话短说这篇文章主要讨论的是DCOM横向渗透以及Payload执行方法，当目标系统的\target\admin$\system32\中不包含mobsync.exe时，本文所介绍的方法才可行。...如果你能获取到目标系统的管理员权限（通过PowerShell），你将能做到如下所示的东西： - dir\\target\system32\mobsync.exe //shouldnot exist...我们将介绍如何利用DCOM（分布式构件对象模型）来实现横向渗透并远程执行Payload。...实际上，mobsync是Microsoft同步中心和脱机文件功能中的一个进程，因此mobsync.exe又开始变得更加有趣了。...监控文件系统及注册表。监控网络环境中的异常PowerShell操作，尽量强制启用PowerShell的受限语言模式（CLM）。

1.6K2 0

红队免杀必会-进程注入--注册表-全局钩

进程的注入方式可以分为DLL注入和shellcode注入，这两种方式本质上没有区别，在操作系统层面上，dll也就是shellcode的汇编代码。...那么，当程序重启的时候，所有加载user32.dll的进程都会根据AppInit_Dlls中的DLL路径加载指定的DLL。...如果钩子函数的实现代码在DLL中，则在对应事件发生时，系统会把这个DLL加载到发生事件的进程空间地址中，使它能够调用钩子函数进行处理。...在操作系统中安装全局钩子后，只要进程接收到收到可以发出钩子的消息，全局钩子的DLL文件就会由操作系统自动或强行的加入到该进程中。因此，设置全局钩子可以达到DLL注入的目的。...我们知道，全局钩子是以DLL的形式加载到其他进程空间中的，而且进程都是独立的，所以任意修改一个内存里的数据是不会影响另一个进程的。那么如何实现注入呢？可以在DLL中创建共享内存。

1.3K2 0

BypassUAC技术总结

系统目录即SYSTEM32目录 16位系统目录即SYSTEM目录 Windows目录程序加载目录(SetCurrentDirecctory) PATH环境变量中列出的目录同时...，dll加载也遵循着Know DLLs注册表项的机制：Know DLLs注册表项指定的DLL是已经被操作系统加载过后的DLL，不会被应用程序搜索并加载。...此方法通常也被称为DLL侧加载（6）相对路径DLL劫持：将合法的应用程序复制（并有选择地重命名）与恶意的DLL一起放入到用户可写的文件夹中。在使用方法上，它与（签名的）二进制代理执行有相似之处。...至于这个dll如何给CLR，是通过修改以下环境变量实现的 COR_ENABLE_PROFILING = 1 COR_PROFILER={CLSIDor ProgID} CLR会检查环境变量中的COR_ENABLE_PROFILING...这里拿事件查看器举例操作-》打开保存的目录-》文件目录路径处输入powershell-》弹出高权限powershell 以此内推，还有很多相似的管理工具可以这样利用注册表劫持 Fodhelper.exe

8603 0

【解析向】腾讯云的Windows Server日志配置收集工具是个什么鬼？(3)

回顾上篇，解释了场景“2”中的四个标签，也介绍了对应着Windows Server中的四个功能在日常运维中究竟起到什么作用以及如何去驾驭他们。...作为Windows Server的脚本大当家——PowerShell，就是最具代表性的脚本语言，其功能在微软系架构（Exchange/AD/SystemCenter/Azure）上杀伤力不是大蟒蛇（Python...无非就是系统卡顿/服务异常（假死/夯住）/系统被入侵或者中毒时，则这四个场景的核心进程属性值应该关心什么呢？...若知道对应的进程情况，其实从日志收集工具所呈现出来的内容仅仅只能知晓哪里可能出了问题，但是具体问题的影响以及相关情况建议使用有号称Windows系统瑞士军刀之称Windows Sysinternals中的...从命令行获取计划任务其实很多种方式，在PowerShell 3.0中有专门的模块来获取计划任务——ScheduledTasks（进行查看）。

2.8K13 0

如何使用PersistenceSniper搜索Windows系统中的持久化植入程序

关于PersistenceSniper PersistenceSniper是一款功能强大的PowerShell模块，该工具专为蓝队研究人员、安全应急事件响应人员和系统管理员设计，旨在帮助大家寻找...Windows系统中的持久化植入程序。...如果你想保持PersistenceSniper为PowerShell Galley中的最新版本，以管理员权限运行PowerShell，然后运行下列命令即可： PS C:\> Install-Module...Gained" -EQ "System" （向右滑动、查看更多）当然了，由于PersistenceSniper是一款基于PowerShell的工具，我们还可以将其输出发送给Out-GridView...这里我们可以使用Find-AllPersistence，配合其他参数，我们可以直接将查找到的输出保存到一个CSV文件中（或作为输入以对结果分类）： PS C:\> Find-AllPersistence

1.1K1 0

windows中常见后门持久化方法总结

映像劫持这个和shift后门差不多，只不过在低版本的windows中，我们可以简单地替换程序，但是在高版本的windows版本中替换的文件受到了系统的保护，所以这里我们要使用另外一个知识点：映像劫持。...定时任务 windows下定时任务的命令有两个分别是：at和schtasks，他们两者主要区别是at命令在win7、08等高版本的windows中是不能将任务在前台执行的，也就是只会打开一个后台进程，而...waitfor 关于waitfor手册中是这么解释的：在系统上发送或等待信号。waitfor可用于跨网络同步计算机。...需要注意的是CLR能够劫持系统中全部.net程序，而且系统默认会调用.net程序，从而导致我们的后门自动触发，这是我们后门持久化的一个好的思路，下面来实现一下修改一下注册表，注册表路径：HKEY_CURRENT_USER...AppInit_DLLs User32.dll被加载到进程时，会读取AppInit_DLLs注册表项，如果有值，调用LoadLibrary() api加载用户dll。

1.8K2 0

内网渗透基石篇——权限维持分析

简单地说，后门就是一个留在目标主机上的软件，它可以使攻击者随时与目标主机进行连接。在大多数连接下，后门是一个运行在目标主机上的隐藏进程。...其基本原理是：将代码存储存储于WMI中，达到要求的“无文件”；当设定的条件被满足时，系统将自动启动PowerShell进程去后门程序，执行后，进程将消失（持续根据后门的运行情况而定时间，一般是几秒）。...其基本原理为：将代码加密存储于WMI中，实现无文件；当设定的条件被满足时，系统将自动启动PowerShell进程去执行后门程序，执行后，进程将会消失，实现无进程。...3.验证环境进入目标机器上，验证wmi 在powershell中直接输入下面的命令结果中可以看到 CommandLineTemlate中的内容包含 powershell.exe Get-WMIObject...这些代码都运行在服务器上。攻击者会通过一段精心设计的代码，在服务器上进行一些危险的操做，以获去某些敏感的技术信息，或者通过渗透和提权来获得服务器的控制权。

1.3K2 0

驱动开发：WinDBG 常用调试命令总结

process 0 0 x64.exe // 根据进程名得到进程详细信息 1: kd> !process 0 0 // 列出系统所有进程 1: kd> !...process 0 7 // 查看详细进程信息系统模块与PE文件检索 0:000> lm // 列出所有模块对应的符号信息 0:000> lmv...lmi ntdll // 查看ntdll.dll的详细信息 0:000> !dlls -a // 列出镜像文件PE结构的文件头 0:000> !...dml_proc // 显示当前进程信息 .tlist -v // 列出所有运行中的进程 ~ // 列出线程 ~. // 查看当前线程 ~* //...kb 5 // 只显示最上的5层调用堆栈 kv // 在kb的基础上增加了函数调用约定、FPO等信息 kp // 显示每一层函数调用的完整参数，包括参数类型、名字、取值 kd // 打印堆栈的地址

8042 0

WMI讲解(是什么，做什么，为什么)

WMI的讲解(是什么，做什么，为什么) 讲在前面作者：pingpig@深蓝攻防实验室 WMI在笔者所参与的项目中发现目前攻防中利用依旧非常频繁，尤其在横向移动中，利用wmic或者powershell...一个托管对象是一个逻辑或者物理组件，比如硬盘驱动器、网络适配器、数据库系统、操作系统、进程或者服务。...的发布只是让我们管理的方式多了一种，本质上没有改变去使用WMI。...135端口的防火墙策略是入站出站允许的），比如：重启，关机，关闭进程，创建进程等。...shell wmic logicaldisk list brief shell wmic logicaldisk get description,name,size,freespace /value #查看系统中

1.2K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云