首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Windows WMI 详解(一)

5)where clause可选项,代表要过滤信息,用来定义搜索范围。2.查询用例1)CDM命令行执行wbemtest命令进入WMI测试器,如图1-1所示。...更具体地说,此查询语句将返回WIN32_Process类每个实例所有属性名称字段包含“CMD”结果,如图1-5所示。 7)执行命令从任务管理器查看,如图1-6所示。...tasklist //打开任务管理器8)除了WIN32_Process属性之外还有很多属性,如需查询更多WMI属性,我们可以通过Powershell命令来进行查看。...WMI Client WMI交互时有很多客户端,我们实战可以根据不同场景适当去选择已有的客户端进行操作,接下来详细介绍可以用于实战WMI Client。...1.PowerShellPowerShell是Windows操作系统下非常强大脚本语言,可以通过PowerShell管理Windows系统所有功能。

87810
您找到你想要的搜索结果了吗?
是的
没有找到

深入了解Windows PowerShell 自动化运维:基础知识、应用技巧和案例分享

介绍 Windows PowerShell 是一种用于自动化运维强大工具,能够Windows操作系统上执行各种管理任务。...第一部分:Windows PowerShell 基础知识 Windows PowerShell 是一种基于命令行和脚本自动化运维工具,能够Windows操作系统上执行各种管理任务,包括系统管理、网络管理...安装和配置Windows PowerShellWindows PowerShellWindows操作系统一个内置功能,用户只需“控制面板-程序和功能”中选择“启用或关闭Windows功能”...用户可以定时任务管理器创建任务,指定执行时间和执行脚本等相关参数,实现定时任务自动化执行。...监控和报警: Windows PowerShell 可以通过“Event Viewer”事件查看器监控系统事件,例如磁盘空间不足、服务崩溃等,用户可以编写脚本实现对事件监控和处理,例如发送邮件或短信进行报警

1.7K20

如何使用Ketshash检测可疑特权NTLM连接

关于Ketshash  Ketshash是一款针对NTLM安全分析与检测工具,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑特权NTLM连接,尤其是Pass-The-Hash攻击。...该工具可以基于下列信息来实现其功能: 1、受监控计算机上安全事件日志(登录事件); 2、活动目录身份验证事件;  工具要求  该工具使用要求用户账号拥有下列权限: 1、访问远程计算机安全事件日志...; 2、活动目录读取权限(标准域账户); 3、计算机同一时间同步,否则会影响结果; 4、至少安装并配置好PowerShell 2.0;  工具下载  该工具是一个PowerShell脚本,因此我们只能在支持...Windows版本10和Server 2016上,应在事件查看器启用“Microsoft Windows LSA/操作”。...Windows 10和Server 2016上,启用“内核对象审计”将提供更准确信息,例如写入LSASS; LogFile:保存结果日志文件路径; MaxHoursOfLegitLogonPriorToNTLMEvent

83050

围绕PowerShell事件日志记录攻防博弈

PowerShell一直是网络攻防对抗关注热点技术,其具备无文件特性、LotL特性以及良好易用性使其广泛使用于各类攻击场景。...今年10月份微软发布补丁CVE-2018-8415正是再次突破PowerShell事件查看器记录又一方法,本文将细数PowerShell各大版本日志功能安全特性,及针对其版本攻击手段,品析攻防博弈攻击思路与技巧...0x01 PowerShell攻防简介 PowerShell是一种功能强大脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows默认命令提示符...分析日志可以事件查看器菜单栏查看选项点击“显示分析和调试日志”显示,并在Microsoft-Windows-WinRM/Analytic中选择“启用日志”开启,也可以通过wevtutil Set-Log...0x07 总结 PowerShell其实已经被广泛运用于不同规模攻击活动,无论是下载器、内网横向扩展、权限维持系统后门,甚至MuddyWater、FruityArmor等多个APT组织攻击事件中都被使用

1.3K30

围绕PowerShell事件日志记录攻防博弈战

今年10月份微软发布补丁CVE-2018-8415正是再次突破PowerShell事件查看器记录又一方法,本文将细数PowerShell各大版本日志功能安全特性,及针对其版本攻击手段,品析攻防博弈攻击思路与技巧...0x01 PowerShell攻防简介 PowerShell是一种功能强大脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows默认命令提示符...防御角度(蓝队视角): 执行任何PowerShell命令或脚本时,无论是本地还是通过远程处理,Windows都可以将事件写入以下三个日志文件: • Windows PowerShell.evtx •...分析日志可以事件查看器菜单栏查看选项点击“显示分析和调试日志”显示,并在Microsoft-Windows-WinRM/Analytic中选择“启用日志”开启,也可以通过wevtutil Set-Log...包括用于访问WinRM用户名和身份验证机制; • 事件ID 142:如果远程服务器禁用了WinRM,则客户端尝试启动远程Shell连接时将产生该记录; Microsoft-Windows-PowerShell

1.7K10

红队战术-躲避日志检查

禁用Windows事件日志记录,是最常规红队手法,为了减少可用于安全人员检测和审核数据量,提高红队活动隐蔽性,红队人员可以禁用Windows事件日志记录。...windows各种日志,最常用被安全人员审计日志,有应用程序日志,系统日志,安全日志。...github:https://github.com/hlldz/Invoke-Phant0m Phant0m工作原理如下: 1. 目标操作系统检测Windows事件日志服务过程。 2....powershell -ep bypass .\Invoke-Phant0m.ps1 4.Mimikatz 这个就不用多说,不仅可以窃取凭据,还可以从事件查看器清除日志。...但是有点风险,我用windows 7 sp2 测试,会出现开不了鸡情况。 6.Metasploit Metasploit会话,可以从事件查看器清除应用程序,安全性和系统日志。

93520

Windows手工入侵排查思路

检查方法: Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。或者我们可以导出Windows日志—安全,利用Log Parser进行分析。...b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常启动项目,是则取消勾选命名异常启动项目,并到命令显示路径删除文件。...05、检查计划任务 (1)检查计划任务里是否有可疑脚本执行 检查方法: a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件路径。...检查方法: a、利用 Registry Workshop 注册表编辑器搜索功能,可以找到最后写入时间区间文件。 b、利用计算机自带文件搜索功能,指定修改时间进行搜索。...(2)历史命令记录 高版本Powershell会记录PowerShell命令,所有的PowerShell命令将会保存在固定位置: %appdata%\Microsoft\Windows\PowerShell

1.4K30

Hacking Tools搜罗大集合

集成了框架、脚本和各种payload。这些脚本是由作者真实渗透测试过程中有感而发编写,具有实战价值。...集成了框架、脚本和各种payload。这些脚本是由作者真实渗透测试过程中有感而发编写,具有实战价值。...而且采用图形化用户界面 更多 snuck:自动化XSS漏洞扫描工具 3xp10it:是一个自动化渗透测试框架 HeapLib2.js:IE9~IE11上执行堆喷射库 Beef Injection...出众之处在于其可以直接从 lsass.exe 里获取Windows处于Active状态账号明文密码 Fiddler:浏览器抓包分析工具 HttpWatch:以插件形式内嵌于浏览器 Wireshark...项目的一部分,提供了 DEX 反编译功能以及用于恶意软件分析许多有趣脚本 Dex2jar:将 DEX 转换为 JAR 文件从而进行 Java 反汇编或反编译 Baksmali&smali:Dalvik

1.7K91

常规安全检查阶段 | Windows 应急响应

Windows设置 => 脚本(登录/注销) 此处可以添加开机启动程序、批处理文件和powershell脚本,开机时就会根据脚本自动运行添加到程序或任务 此处任务是不会显示启动或msconfig...DisplayName:计划任务服务显示名称用于服务列表和管理工具显示。 ErrorControl:指定计划任务服务启动时错误处理行为。...每个计划任务都有一个唯一 ID,用于标识和区分不同任务。 Index:这个值指示任务计划任务索引位置。它表示任务相对位置,可以用来确定任务顺序或层次关系。...事件查看器 win+r 输入,打开系统事件查看器: eventvwr.msc # windows事件查看器 主要关注以下日志内容: 安全日志 记录系统安全审计事件,包含各种类型登录日志、对象访问日志...-i sysmonconfig-export.xml # 默认设置进行安装,使用指定配置文件xml 看到如下截图即代表安装完成: 2) 使用方法 事件查看器,找到: 事件查看器--> 应用程序和服务日志

79110

神兵利器 - APT-Hunter 威胁猎人日志分析工具

APT-Hunter是Windows事件日志威胁猎杀工具,它由紫色团队思想提供检测隐藏在海量Windows事件日志APT运动,以减少发现可疑活动时间,而不需要有复杂解决方案来解析和检测...Windows事件日志攻击,如SIEM解决方案和日志收集器。...许多分析师忽略了windows事件日志或不知道在哪里搜索可疑活动,他们大多不知道什么事件日志收集情况下,攻击.我作为安全专家SOC环境工作,我们提供威胁狩猎,事件响应和取证调查给我们客户。...通常情况下,客户没有SIEM或日志收集器解决方案,这使得它真的很难收集Windows事件日志,将它们上传到(SIEM解决方案 , 解析数据 , 开始搜索,以发现任何妥协迹象,使用搜索,你必须记住他们...powershell脚本即可。

1.7K10

使用Sysmon和Splunk探测网络环境横向渗透

本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建...然后Splunk可以看到Sysmon事件已经导入: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ?...splunk搜索Sysmon事件,识别出可疑SMB会话(445端口): sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational...然后通过分析当前Windows事件日志,辨别进程创建/终止,网络连接建立/销毁来区别正常与异常SMB会话。 探测攻击者使用PowerShell进行横向渗透。...Splunk,我们可以通过下面的Sysmon事件来辨识出 恶意行为,我们可以攻击者使用WinRM 远程连接了被攻击机器5896端口: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon

2.1K70

通过Windows事件日志介绍APT-Hunter

APT-Hunter是用于Windows事件日志威胁搜寻工具,该工具能够检测隐藏在Windows事件日志APT运动,如果您是弄威胁情报的人,那么我保证您会喜欢使用此工具,为什么?...许多分析员会忽略Windows事件日志,或者不知道何处搜索可疑活动,而且大多数分析人员都知道发生攻击时要收集哪些事件日志。我SOC担任安全专家,我们向客户提供威胁搜寻,事件响应和法证服务。...根据先前发现APT攻击事件来检测系统横向移动。 充分利用您收集Windows事件日志。 更快攻击检测,这将减少响应时间,以便快速遏制和消除攻击。...该工具将用于加快Windows日志分析速度,但永远不会取代深度日志分析。 收集日志:用户可以手动收集CSV和EVTX格式日志,也可以使用本文后面讨论powershell脚本自动提取所需日志。...易于添加新检测规则,因为字段清除且语法易于使用。 支持将Windows事件日志导出为EVTX和CSV。 分析师可以将新恶意可执行文件名称直接添加到list

1.5K20

Windows 应急响应手册v1.1

工具 应急响应事件流程挖矿病毒、远控后门、非持续性事件等部分添加内存搜索字符串步骤 常规安全检查阶段添加近期活动检查 系统日志分析部分添加额外 RDP 相关日志 小技巧章节添加 0x03 内存搜索字符串章节...常规安全检查 -> 服务程序 -> 注册表部分完善用于二进制签名验证 Powershell 脚本实现逻辑 常规安全检查 -> 服务程序 -> 进阶性排查部分完善用于二进制签名验证 Powershell...脚本实现逻辑 常规安全检查 -> COM 劫持部分完善用于二进制签名验证 Powershell 脚本实现逻辑 常规安全检查 -> Winsock NSP 部分完善用于二进制签名验证 Powershell...脚本实现逻辑 20240305 常规安全检查阶段添加 Windows Defender 日志检查 修复 知识点附录 -> 0x10 谁决定计划任务执行结果章节文字错误 小技巧 -> 0x01...e65dc56b813059ca915e7403a0e251a3 sha-256: 38adcf5c6526900e85d1de8068475e01b130f32bbe9c4b2ba4b59759b9a1903f 用户反馈列表 反馈过程

34410

Win 运维 | Windows Server 系统事件日志浅析与日志审计实践

Windows 事件日志属性 描述:Windows 事件日志文件实际上是以特定数据结构方式存储内容,其中包括有关于系统,安全,应用程序事件记录,每个记录事件数据结构包含如下 10 个常规日志属性...操作代码:别称 OpCode,记录触发事件时所执行操作。 记录时间:事件发生具体时间。 任务类别:用于表示事件发行者子组件或活动,用于提供事件更多细节分类。...关键字:用于分类事件赛选关键词,常见有经典、审核成功、审核失败、响应时间。 计算机:记录事件计算机名称。...-- 与事件相关关键字,用于过滤或搜索事件 --> 0x8020000000000000 <!...事件ID标识 描述:Windows 事件 ID 是 Windows 事件日志记录事件唯一标识符,每个事件 ID 都对应一个事件,作为安全运维人员应该熟知常见一些事件ID,用于发生网络安全应急事件快速定位相关问题及事件

52510

挖矿恶意程序纪实分析之 Windows

b) 启动Windows32_Update服务 c) 调用系统自带”Windows 事件命令行工具wevtutil.exe清理日志信息 清除windows powershell启动运行日志...清除windows日志之安全日志 清除windows日志之系统日志 安全日志和系统日志比较常见,windows powershell日志记录是系统windows powershell脚本运行痕迹,...其事件查看器位置如下图所示: ?...im | install-manifest 从清单安装事件发布者和日志。 um | uninstall-manifest 从清单卸载事件发布者和日志。...除非在整个入侵或者渗透过程,攻击者利用powershell执行了某些指令?可是如何查看其执行指令呢?是否预示。。。?毕竟现在还不清楚入侵手段。

2.9K30

BypassUAC技术总结

管理员正常情况下是以低权限运行任务,这个状态被称为被保护管理员。但当管理员要执行高风险操作(如安装程序等),就需要提升权限去完成这些任务。这个提升权限过程通常是这样,相信各位都眼熟过。...如服务管理工具下许多应用都属于白名单程序,而其中又有些程序执行时需要依赖CLR支持(如事件查看器任务计划程序) Bypass UAC DLL劫持 reference:https://www.anquanke.com...实践出真知2 这里使用第三种方法进行实验,实验对象是eventvwr.msc,它是管理工具事件查看器,它依赖于mmc.exe来运行。...这里拿事件查看器举例 操作-》打开保存目录-》文件目录路径处输入powershell-》弹出高权限powershell 以此内推,还有很多相似的管理工具可以这样利用 注册表劫持 Fodhelper.exe...Fodhelper.exe win10才有,所以只有win10能通过这个办法bypassuac,他是一个autoelevate元素程序 我们使用proceemonitor查看事件查看器启动时候执行了什么

86030

巧用Windows事件日志“隐藏”载荷

前置知识 Windows事件日志 Windows默认事件日志查看器为eventvwr.msc,能实现简单使用,Win+R键后输入eventvwr回车即能打开。...应用程序 安全 Setup 系统 Forwarded Events 图片 事件查看器另一个“应用程序和服务日志”文件夹里,包含Windows系统其它各类重要服务组件事件日志。...Windows PowerShell日志在该集合。...Windows事件日志文件实际上是以特定数据结构方式存储内容,每条记录事件数据结构由9个字段组成,包括日志名称、来源、记录时间、事件ID、任务类别、级别、计算机、事件数据(EventData)等信息...图片 事件查看器,可以看到事件ID为65535日志成功创建在应用程序日志,消息为Hello World!

80830

利用计划任务进行权限维持几种姿势

set target 5 exploit 命令提示符下,“ schtasks ”可执行文件可用于创建计划任务,该任务将在每个Windows登录以SYSTEM形式下载并执行基于PowerShell...持续性–计划任务日期和时间 如果为目标事件启用了事件日志记录,则可以特定Windows事件触发任务。b33f在他网站上演示了此技术。Windows事件命令行实用程序可用于查询事件ID。...持久性计划任务PowerShell SharPersist 通过计划任务SharPersist添加了关于持久性多种功能。...通过检查名称和提供参数,此功能可用于验证调度任务命令。...以下配置每天凌晨03:22将执行基于PowerShell有效负载。有效负载存储注册表项任务名称为“ WindowsUpdate ”,以便区分合法计划任务

2.7K20

通过计划任务实现持续性攻击

Metasploit“web_delivery”模块可用于管理和生成各种格式Payload。...Windows事件(event)命令行可以查询事件(event)ID。 ? 我们可以创建一个关联特定事件计划任务(下载执行某个payload)。 ?...图*-* 持续性攻击-计划任务事件ID “Query”参数可用于检索新创建计划任务信息:schtasks /Query /tn OnLogOff /fo List /v ?...图*-* 使用SharPersist列出计划任务信息 与Metasploit框架功能类似,SharPersist也具有检查目标是否易受攻击功能,SharPersist提供了一个运行检查,这个功能可用于通过检查名称和提供参数来验证计划任务...这个payload注册表任务名称为“WindowsUpdate”,这里要和正常任务区分开。

1.1K30
领券