在Windows操作系统下,主要有2个文件夹和8个注册表键项控制程序的自启动,下面主要介绍这2个文件夹和8 个注册表项: 1.用户专用启动文件夹-——最常见的自启动程序文件夹,它位于系统分区盘下,路径为: 系统盘:\\Dcoument and Setting\<用户名称>\开始\程序\启动,它是针对用户来使用的。 2.所有用户启动文件夹——另外一个常见自启动程序文件夹,它位于系统分区盘下,路径为: 系统盘:\\Dcoument and Setting\ALL USER\开始\程序\启动,而该文件夹是针对所有
1、软件自启动原理 软件自启动的原理要从Windows的注册表聊起,在Windows操作系统下,主要有2个文件夹和8个注册表键项控制程序的自启动,这部分的详细介绍可以参看博客http://www.cnblogs.com/fukajg/archive/2012/08/10/2631250.html。本程序通过“Run”键值实现,Run键值是自启动程序最常见的地方。它的位置在[HKEY_CURRENT_USER\Softvvare\Microsoft\Windows\CurrentVersion\Run
PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进,正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。其中一些改进包括脚本块记录,反恶意软件脚本接口(AMSI)以及第三方安全供应商针对恶意PowerShell活动签名的开发。目前已发布了多个C#工具包,如Seatbelt,SharpUp和SharpView,用以攻击生命周期各个阶段的任务。而在攻击生命周期中缺少C#工具包的一个阶段就是持久性。为此,FireEye Mandiant的红队创建了名为SharPersist的新Windows持久性工具包。
在Windows操作系统上.ts被默认标记为Transport Stream,对于普通用户来讲这完全没有问题,但对于TypeScript开发者来说简直就是个灾难了:用文件浏览器打开一个.ts文件较多的项目时,系统需要把所有文件扫描一遍,并尝试识别视频的封面,这个过程几乎就是逐帧动画,严重影响工作效率。
Windows注册表(Registry)是Windows操作系统中用于存储系统配置信息、用户设置和应用程序数据的一个集中式数据库。它是一个层次结构的数据库,由键(Key)和值(Value)组成,这些键和值被用于存储各种系统和应用程序的配置信息。
pywin32 包含多个子模块,每个子模块封装了特定的Windows API功能。以下是一些常用模块的介绍及其使用示例。
hkey_current_user 位于:%SystemDriver%\document and settings\<用户名>\Ntuser.dat中
在我们红队拿到主机权限的时候,我们往往需要通过这台机器进行深一步的渗透,或者目标服务器可能因为系统更新,杀软更新等等原因往往导致会话莫名其妙下线了,所以权限持久化是红队一个必不可少的工作。
*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载 打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件
在使用Scrapy框架进行爬虫开发过程中,有时会遇到ModuleNotFoundError: No module named 'win32api'错误。该错误通常出现在使用Scrapy中的某些功能时,需要win32api模块而本地环境中并未安装该模块导致的。
SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是DLL文件,主要用于windows操作系统的身份认证功能,例如NTLM、Kerberos、Negotiate、Secure Channel(Schannel)、Digest、Credential(CredSSP)。
一、系统优化设置。 1、删除Windows强加的附件: 1) 用记事本NOTEPAD修改/winnt/inf/sysoc.inf,用查找/替换功能,在查找框中输入,hide(一个英文逗号紧跟hide),将“替换为”框设为空。并选全部替换,这样,就把所有的,hide都去掉了, 2) 存盘退出, 3)再运行“添加-删除程序”,就会看见“添加/删除 Windows 组件”中多出了好几个选项;这样你可以删除好些没有用的附件 2、关掉调试器Dr. Watson; Dr.Watson是自带的系统维护工具,它会在程序加载失败或崩溃时显示。运行drwtsn32,把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错,硬盘会响很久,而且会占用很多空间。如果你以前遇到过这种情况,请查找user.dmp文件并删掉,可能会省掉几十M的空间。这是出错程序的现场,对我们没用。然后打开注册表,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/AeDebug子键分支,双击在它下面的Auto键值名称,将其“数值数据”改为0,最后按F5刷新使设置生效,这样就彻底来取消它的运行了。 另外蓝屏时出现的memory.dmp也可删掉。可在我的电脑/属性中关掉BSOD时的DUMP 3、关闭“系统还原”:鼠标右健单击桌面上的“我的电脑”,选择“属性”,找到“系统还原”,如果你不是老噼里啪啦安装一些软件(难道你比我还厉害??),你也可以去掉,这样可以节省好多空间。
PrivKit是一款功能强大的Windows操作系统权限提升漏洞检测工具,该工具本质上是一个Beacon对象文件,可以帮助广大研究人员以高效且快速的方式检测Windows操作系统上由错误配置所导致的提权漏洞。
<?xml:namespace prefix = o ns = “urn:schemas-microsoft-com:office:office” /> Generic Host Process
类似 WannaCry 和 Slingshot 这样的恶意软件最常用的一种攻击技术就是内核代码注入,在近期刚刚发布的 Windows 10 Creators 更新中,微软引入了一种针对远程代码执行的新型缓解技术-任意代码守护卫士(ArbitraryCode Guard)。在这篇文章中,我们将详细介绍Arbitrary Code Guard的工作机制,并利用内核代码注入攻击来测试这项缓解技术的有效性。
原本创建.md文件需要首先打开markdown文本编辑器,如Typora,或者新建.txt文件然后修改后缀名,本文介绍了如何在Windows操作系统中添加右键创建.md文件的方法
相信做过VDI虚拟桌面(现在更多被称之为“云桌面”)或终端标准化的兄弟们对用户配置文件优化应该都不陌生,无数个夜晚,无数次操作,只为了默认配置文件能够兼容应用的一个控件或一个设置。有可能仅仅是一个软件的小Feature或一个B/S系统的小表格,我们可能都要耗费上N久的时间。
关于Pywirt Pywirt是一款基于Python开发的网络安全工具,该工具专门针对Windows操作系统设计,可以帮助广大研究人员使用winrm并通过在Windows操作系统上收集各种信息来加快安全事件应急响应的速度。 该工具已在Windows 10操作系统上进行过完整测试。 功能介绍 该工具支持在Windows操作系统上收集下列信息: IP配置 用户信息 组信息 任务 服务 计划任务 注册表控制 TCP&UDP活动端口 文件共享 文件信息 防火墙配置 会话信息 开放会话 日志条目 工
用户帐户控制(User Account Control,UAC)为Windows Vista中所推出的安全技术之一,其主要特点在于通过限制应用软件对系统层级的访问,从而改进Windows操作系统的安全性。虽然此类机能一直遭到部分用户的批评,但后续的Windows操作系统仍保留此类机能。如Windows 7中,微软公司保留并改进了此项功能(自定义UAC的安全等级)。
由于两个系统设定时间时以主板CMOS内的时间为依据,但却有不同的时间计算标准。所以导致了系统时间的纠纷问题。 Linux和苹果操作系统以当前主板CMOS内时间做为格林威治标准时间,再根据系统设置的时区来最终确定当前系统时间(如时区设置为GMT+08:00北京时间时以及当前CMOS时间为03:00,那么系统会将两个时间相加得出显示在桌面的当前系统时间为11:00)。 Windows操作系统却直接把CMOS时间认定为当前显示时间,不根据时区转换。这样每调整一次系统时区,系统会根据调整的时区来计算当前时间,确定后,也就同时修改了CMOS内的时间(即每调整一次时区,设置保存后,CMOS时间也将被操作系统改变一次,注意不同操作系统调整时间后,也会同时改变CMOS时间,这一点是共通的)。 这里我们且不论两种时间计算标准的好差,而仅让Windows认定CMOS时间为格林威治标准时间来消除操作系统之间认定时间的差异,从而解决Windows操作系统与不同操作系统并存时出现的时间认定纠纷。。。(怎么改Ubuntu参见2楼xport的回帖:)) 其实Windows注册表内已经隐藏了这样一个开关。瀑布汗,那么就拿它来开刀了。。。 即在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\中添加一项数据类型为REG_DWORD,名称为RealTimeIsUniversal,值设为1。
在C#中使用HttpWebRequest发起HTTP请求时,达到最大并发和性能可以从以下几个方面改进:
*本文原创作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载 ** 在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library)文件,即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。Rundll.exe 和 Rundll32.exe 的命令行实用程序,通过这两个程序可调用从16位或32位DLL导出的函数。现在Rundll.exe 基本被淘汰,rundll32.exe格式为:RU
解决Windows操作系统在处理回环地址 1、 第一种解决方案是禁用环回检查。 步骤如下 a) 依次单击“开始”和“运行”,键入 regedit,然后单击“确定” b) 在注册表编辑器中,找到并单击下面的注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa c) 右键单击“Lsa”,指向“新建”,然后单击“DWORD 值” d) 键入 DisableLoopbackCheck,然后按 Enter e) 右键单击“Disabl
INF是Device INFormation File的英文缩写,是Microsoft公司为硬件设备制造商发布其驱动程序推出的一种文件格式,INF文件中包含硬件设备的信息或脚本以控制硬件操作。在INF文件中指明了硬件驱动该如何安装到系统中,源文件在哪里、安装到哪一个文件夹中、怎样在注册表中加入自身相关信息等等。 安装监视器、调制解调器和打印机等设备所需的驱动程序,都是通过INF文件,正是INF的功劳才使得Windows可以找到这些硬件设备的驱动并正确安装。当我们通过“开始→控制面板→添加删除程序→Windows安装程序”来添加系统组件的时候,INF文件将会自动调用。而在其他场合下,则需要在INF文件上点击鼠标右键,然后选择“安装”,你才能顺利安装应用程序。
从Vista系统开始,Windows逐渐开始重视权限的管理,并陆续回收了对于默认程序的设置权限,增强了用户的体验。相对于Win7,用户应用程序可以肆意设置自身应用作为文件类型的默认程序,Win10以后的应用程序仅能设置自身作为文件类型或者链接类型的推荐应用程序,仅用户自身主动点击设置才能作为默认程序。
在Windows操作系统中,组策略、安全策略和注册表是系统配置和管理的三个重要组成部分。它们之间的交互关系及其如何影响系统的配置是值得我们深入探讨的。本文将为你揭示策略与注册表之间的联系以及策略配置是否能覆盖所有的注册表设置。
在windows操作系统中攻击者可以通过创建隐藏账户来实现权限维持的目的,由于创建的隐藏账户无法通过命令行或者图形化界面的方式被检索到,所以此类权限维持的方式极为隐蔽,本篇文章将对隐藏账户的创建方式和检索方式进行复现
辅助功能提供了其他选项(屏幕键盘、放大镜、屏幕阅读等)可以帮助残疾人更轻松地使用Windows操作系统,但是此功能可能会被滥用于在已启用RDP且已获得管理员级别权限的主机上实现持久性,此技术涉及磁盘或者需要修改注册表才能执行存储的远程负载
12170, 00000, "TNS:Connect timeout occurred"
通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序损毁系统的效果。
声明:本人坚决反对利用教学方法进行恶意攻击的行为,一切错误的行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解技术背后的原理,更好地进行安全防护。虽然作者是一名安全小白,但会保证每一篇文章都会很用心地撰写,希望这些基础性文章对你有所帮助,在安全路上一起前行。
Windows安全中心是Windows操作系统中的一项重要功能,系统提供这个功能的目的是保护电脑免受各种安全威胁。尽管如此,有时候我们可能出于某些原因需要关闭它。本文将详细介绍如何关闭Windows安全中心,以及需要注意的事项。
WMI(Windows Management Instrumentation) 是一项核心的Windows管理技术,WMI模块可用于获取Windows内部信息。WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会议被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制欲环境下的全部机器。
作为一个写了多年代码的程序员,从技术角度考量,windows系统还是非常强大,很少有一套软件让全球至少几十亿人服务,而且持续了很长时间,未来还会继续持续一段时间,mac系统继承于unix从技术难度上还是windows更高一点,有了基础的情况下相对实现起来简单一些,更加重要的是mac系统只是兼容自己家硬件,windows操作系统需要兼容各种硬件平台,但从这一点来看windows这个难度就比mac系统已经多了许多。
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。系统安全系列作者将深入研究恶意样本分析、逆向分析、漏洞利用、攻防实战等,通过在线笔记和实践操作的形式分享与博友们学习。
Process Hacker:windows下的一款用于调试和排除软件故障的强大工具 。它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。
红队人员拿到一台主机权限后首先会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。通俗的说抓到一条鱼,不能轻易放走了。
今天给大家介绍的是一款名叫DCOMrade的工具(PowerShell脚本),各位研究人员可利用该工具来枚举存在漏洞的DCOM应用程序。
大致的过程是当系统I/O上发生一个事件时,系统捕获该事件,并向指定的应用程序的消息队列发送一个消息,应用程序从消息队列中顺次取出一个消息,交由系统调度相应的窗口回调程序进行消息处理。
线程是执行任务,完成功能的基本单位,而进程则为线程提供了生存空间和线程所需要的其他资源,程序则是包含资源分配管理代码以及线程执行调度代码的一个静态计算机代码集合
远程桌面是网络管理员必备的技能,今天给大家聊聊Windows本身就自带的远程桌面功能,如何修改远程的默认端口(3389),让你的远程服务器更加安全。
说到端口复用,大部分人第一反应肯定是想到内核驱动,需要对网络接口进行一些高大上的操作才能实现。但只要合理利用操作系统提供的功能,就能以简单的方式实现这一目标,本文将公布一种基于内置系统服务的端口复用后门方法。
Optimizer 是一个多功能系统优化清理工具,它支持垃圾清理、注册表修复、启动项管理,关闭视窗系统中不需要的功能,帮您恢复您的隐私与增加您的安全性,建议在全新、干净的Windows安装之后进行优化,以实现最大的隐私性与安全性,根据您的Windows版本,Optimizer还允许您执行一些特定的调整。
不要问我为什么不直接重做系统?因为安装的环境、工具以及Vbox虚拟机和各种文件、资料都需要备份并且重新安装恢复到奔溃前的状态(强迫症),弄起来会特麻烦,特别是vbox虚拟机在恢复时会出现各种各样的问题,所以不到万不得已时我不会选择重做系统。
领取专属 10元无门槛券
手把手带您无忧上云