如今单身的我,现在有大把的时间来修炼我的技术,就像圈内的小伙伴们说:「要女朋友有什么用?这不是影响我写代码吗?」希望我未来能达到「重剑无锋,大巧不工」的境界。
随着网络安全的快速发展,不少的互联网公司都积极的参与到了这个领域,随着《网络安全法》颁布与实施、等保2.0的颁布等为网路安全发展提供了有力的后盾。一个事物的快速发展,也会引起其它不利的事物萌芽。不错,就是网络入侵事件的出现,说白了就是黑产。比如Facebook泄露的8700万用户数据、前程无忧招聘网站求职信息的泄露、华住下多个连锁酒店5亿信息泄露、万豪喜达屋用户信息泄露等。
1.日志文件位置 控制面板→ 管理工具 → 事件查看器 或者win + R:eventvwr.msc
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Log Parser(微软网站下载)是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
EventID=4624,从安全日志中获取登录成功的客户端登录ip、登录源端口、登录时间等信息
前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
系统运维,少不了分析系统日志,微软有个工具Log Parser可以帮助你分析日志。它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 Log Parser可以到微软的网站下载,安装完后,就会有命令行的执行程序LogParser.exe,供API使用的LogParser.dll及说明文件LogParser
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能,如果允许可以考虑异构排查
那么多代码里不可能我们一点点去找后门,另外,即使最好的Webshell查杀软件也不可能完全检测出来所有的后门,这个时候我们可以通过检测文件的完整性来寻找代码中隐藏的后门。
Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
这是 WMI 攻击手法研究系列第三篇,本文将重点介绍与 Windows 注册表的交互。在开始之前需要了解的一件事情是:MITRE ATT&CK 对查询注册表 (Query Registry) 归类于 T1012 以及它的修改 (Modify Registry) 归类于 T1112。
PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。 早期的图形操作系统,如Win3.x中对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。 为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。 按照这一原则Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。
线程是执行任务,完成功能的基本单位,而进程则为线程提供了生存空间和线程所需要的其他资源,程序则是包含资源分配管理代码以及线程执行调度代码的一个静态计算机代码集合
在红队行动中在网络中获得最初的立足点是一项耗时的任务。因此,持久性是红队成功运作的关键,这将使团队能够专注于目标,而不会失去与指挥和控制服务器的通信。
例如,如果您正在为 64 位系统下载 JDK 安装程序,用于更新 17 Interim 0、Update 0 和 Patch 0,则文件名 jdk-17.interim.update.patch_windows-x64_bin.exe变成 jdk-17_windows-x64_bin.exe.
Windows注册表(Registry)是Windows操作系统中用于存储系统配置信息、用户设置和应用程序数据的一个集中式数据库。它是一个层次结构的数据库,由键(Key)和值(Value)组成,这些键和值被用于存储各种系统和应用程序的配置信息。
Windows XP的绝大部分注册表数据文件存放在C:\WINDOWS\system32\config。该目录里面包含了5个没有扩展名的文件,即当前注册表文件: DEFAULT(默认注册表文件,位于注册表的HKEY_USERS项分支下) SAM(安全账户管理器注册表文件,位于注册表的HKEY_LOCAL_MACHINE\SAM项分支下) SECURITY(安全注册表文件,位于注册表的HKEY_LOCAL_MACHINE\SECURITY项分支下) SOFTWARE(应用软件注册表文件,位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE项分支下) SYSTEM(系统注册表文件,位于注册表的HKEY_LOCAL_MACHINE\SYSTEM项分支下) 另外,“%SystemRoot%\Repair”目录下,有一份系统刚刚装好时候原始注册表数据备份。 好了,知道位置后就要把GHOST中的相关文件提取出来,单独放在一个文件夹中,用Regedit编辑器“加载配置单元”进行编辑,编辑好后“卸载配置单元”,再替换回Ghost镜象,就完工了。 二 几个相关文件位置1 IE的首页可以在config目录下的software文件中,也可能在Document&settings_USERNAME_netusser.dat文件中2 屏保程序:windows_system32目录下3 主题文件:windows_resources_themes4 壁纸文件:windows_web_wallpaper5 安装背景:windows_system32_setup.bmp附: IE主页无法修改的注册表解决办法 有时候使用IE出现主页被改且无法修改的情况,而且选择Internet选项修改主页设置那里是灰色的,这很有可能是你在上网或者安装软件的时候中了病毒被修改且锁定了注册表值,首先推荐你使用优化大师\魔法兔子、黄山IE修复专家或者Upiea等系统优化软件来排除问题,但如果仍然不奏效或者你没有下载软件亦或者你正好看到了这篇文章,那么可以用下面修改注册表的方式侧地排除问题:
注册表根目录有 5 项,其中操作 HKEY_CURRENT_USER 不需要管理员权限,但是操作其它就需要了
一些安全研究员发现,通过修改创建的计划任务的注册表,同时删除计划任务文件,可以完全隐藏计划任务,并且执行不受影响
声明:本人坚决反对利用教学方法进行恶意攻击的行为,一切错误的行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解技术背后的原理,更好地进行安全防护。虽然作者是一名安全小白,但会保证每一篇文章都会很用心地撰写,希望这些基础性文章对你有所帮助,在安全路上一起前行。
描述:reg命令是WindowsXP提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值,以及导入导出注册表项.
WMI(Windows Management Instrumentation) 是一项核心的Windows管理技术,WMI模块可用于获取Windows内部信息。WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。
由于 Windows 不开源,而 Windows 的某一项服务可能受多个配置项影响,所以很多研究员通过逆向的方式,分析服务调用过程,推测执行流程,例如
大家好,又见面了,我是你们的朋友全栈君。本文只针对 Windows NT/2000/XP。对于 Windows 95/98/ME,请参阅文章: 如何手动卸载用于 Windows 95/98/Me 的 Norton AntiVirus 企业版 7.x 客户端。
Process Monitor是微软推荐的一款系统监视攻击,能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。它整合了一些工具,其中Folemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。
注册表是一个数据库,它的结构同逻辑磁盘类似。注册表包含键(Key),它类似磁盘中的目录,注册表还包含键值(Value),它类似磁盘中的文件。一个键可以包含多个子健和键值,其中键值用于存储数据,顶层建称为根键,注册表的根键如下图(Win+R 输入命令 regedit ):
Windows注册表就相当于Windows系统的数据库,系统和软件的配置信息放在注册表里面。如果注册表出现了问题,可能导致系统崩溃。我们平时是使用 regedit.exe 命令来使用图形化界面管理注册表的。而在很多时候,使用图形化界面管理注册表很麻烦。所以今天介绍一种使用纯命令行的工具(reg.exe)来管理注册表。使用 reg.exe 可以对注册表进行添加、删除、修改、查看等操作。
SqlServer2000是20多年前的东西,微软官方程序最多只能安装到2012R2上,≥2016的都安装不上,牛逼网友搞的绿色版的SqlServer2000可以在所有Windows系统运行。这个绿色软件叫gsql,我见过1.27版、1.28版。
最近几年,伴随着数字货币的兴起,促进了经济利益驱动型黑客行为的暴增。各位做安服和应急的小伙伴不可避免的会与各种勒索病毒、挖矿病毒以及各种蠕虫病毒打交道,通过分析各大厂发的技术文章, 其主要使用逆向分析还原原始代码来了解病毒相关的功能与特征。
在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。
在windows环境下,当修改任何一个应用程序为兼容模式启动的时候,系统都会在相应的注册表里面写入信息 注册表位置为:"HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"
Windows 8 的窗口界面已经不再有半透明的 Aero 效果, 但是窗口的边框还是那么宽,在这个流行窄边框的时代, 显得是那么的格格不入, 本文介绍通过修改注册表调整 Windows 8 的窗口宽度。
PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进,正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。其中一些改进包括脚本块记录,反恶意软件脚本接口(AMSI)以及第三方安全供应商针对恶意PowerShell活动签名的开发。目前已发布了多个C#工具包,如Seatbelt,SharpUp和SharpView,用以攻击生命周期各个阶段的任务。而在攻击生命周期中缺少C#工具包的一个阶段就是持久性。为此,FireEye Mandiant的红队创建了名为SharPersist的新Windows持久性工具包。
当我们通过各种方法拿到一个服务器的权限的时候,我们下一步要做的就是后渗透了,而后门持久化也是我们后渗透很重要的一部分,下面我来总结一下windows下常见的后门持久化的方法
我们通过 Windows 服务可以创建在 Windows 会话中长时间运行的应用程序。服务可以跟随计算机一起启动,并且可以暂停、停止和重启。Windows 服务和 Windows Form 程序最大的不同点是 Windows 服务没有任何用户界面。Windows 服务一般用于后台处理数据,例如批量信息发送、定时执行任务、进程监视等方面。并且还可以针对不同的登录账户执行不同的服务操作等。对于创建 Windows 服务没有哪个开发平台比 .NET Framework 更加便捷,尤其是利用 C# 开发 Windows 服务对于程序员来说说简单的飞起。 Windows 服务虽然开发很简单但是注意事项太多了,多说开发人员在开发的时候往往会忽略一些东西,那么这篇文章就带领读者详细讲解一下 Windows 服务。
使用VBA的CreateObject函数,这种情况下要知道COM对象的名称。
很不幸,你在自己的电脑里发现了一个恶意的可执行程序!那么问题来了:这个文件到底有没有执行过? 在这篇文章中,我们会将注意力放在Windows操作系统的静态取证分析之上,并跟大家讨论一些能够帮助你回答上
今天在深圳的Windows 7社区发布活动讲了Session 2 -- Windows 7兼容性概述。今天参会的人员达到60多个,大家也非常积极的讨论。我的Session时间安排上有点紧张,没有留给大家提问的时间,最后由朱兴林回答在几个Session结束后统一回答大家的问题。在抽奖环节,我抽取一等奖的奖品-- windows 7,得主是位女生,各位得主最后有张合影。 我的PPT下载Win7应用开发兼容性.zip 下面简要介绍一下今天的内容:微软的操作系统更新换代仍然按照自己的步伐,从XP到2003、vist
809错误 或显示 无法建立计算机与 VPN 服务器之间的网络连接,因为远程服务器未响应。这可能是因为未将计算机与远程服务器之间的某种网络设备(如防火墙、NAT、路由器等)配置为允许 VPN 连接。请与管理员或服务提供商联系以确定哪种设备可能产生此问题。
相信大家都有这种经历,装了百度网盘客户端后,会自动在Windows的右键菜单中添加“上传到百度网盘”选项,但该选项在百度网盘客户端设置中是没法去掉的。本文章演示如何通过修改注册表项,来删除右键菜单中的这个选项。
在我们的应用中,仅知道程序名称(例如:FastMerge),想要知道程序的全路径(例如:C:\FastMerge\FastMerge.exe)。有什么办法呢?当然最简单粗暴的方法就是全盘扫描,但是这显然不是我们想要的方法。下面就介绍几种比较实用便捷的查找方法。
读注册表 // 初始化 HKEY hKey_return = NULL; // 打开注册表失败 if(ERROR_SUCCESS != RegOpenKeyEx( HKEY_LOCAL_MACHINE, // 注册表根键句柄(也可以是 HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_USERS、HKEY_CURRENT_CONFIG) 去掉第一个参数后的注册表路径, // 注册表路径(开头无'\',结尾有'\') 0, // 保
我们可以在任何路径下输入 explorer 来启动资源管理器,可以在任何路径中输入 git 来使用 git 相关的命令。我们知道可以通过将一个应用程序加入到环境变量中来获得这个效果,但是还有其他的方式吗?
领取专属 10元无门槛券
手把手带您无忧上云