在计算机领域中,Windows服务是一种常见的系统服务,用于提供特定的功能或服务。然而,对于许多用户和开发者来说,管理这些服务可能是一项繁琐的任务。幸运的是,我们可以使用一些工具来简化这个过程。...这可以大大减少重复配置的时间,提高工作效率。导入导出:NSSM提供了导入和导出服务配置的功能,用户可以将一个服务的配置导出为JSON格式,并将其保存为一个文件。...这样,用户可以在需要时轻松地导入该配置,而无需手动输入。脚本支持:NSSM允许用户通过脚本创建和配置服务。用户可以使用任何喜欢的文本编辑器编写脚本,并使用NSSM将其转换为可执行文件。...用户可以通过控制面板或命令行工具来管理和监控这些服务。PowerShell scripts:PowerShell是一种强大的脚本语言,用户可以通过编写脚本来实现一些特定的服务管理和配置任务。...PowerShell还可以与其他脚本语言(如Batch)结合使用,以实现更复杂的功能。
提供程序可让你访问数据存储(如注册表和证书存储),与你访问文件系统一样方便。...shell, Windows 脚本宿主 (WSH)具有可编写脚本的命令行工具和 COM 自动化对象,但不提供交互式 shell。...面向对象:PowerShell 基于对象而非文本 交互式脚本编写环境:Windows 命令提示符提供了一个可访问命令行工具和基本脚本的交互式 shell 轻松转换到脚本:借助 PowerShell 的命令可发现性.../powershell 从 Windows PowerShell 5.1 迁移到 PowerShell 7 描述: 当前Windows10以及Server2019默认的PS版本为5.1为了使用能尝试使用...\system32\WindowsPowerShell\v1.0\Modules Step 3.独立的配置文件: PowerShell 配置文件是在 PowerShell 启动时执行的脚本。
此恶意程序中使用了多阶段Powershell脚本,其中许多阶段都是完全无文件的,这就说明攻击者为了避开检测也是很努力的。...如果受感染系统用的是Powershell 3.0或者更高版本,第三阶段payload将写至“%PROGRAMDATA%\Windows\”中的ADS流文件中,并命名为“kernel32.dll”。...有点必须要注意的是,第三、四阶段的Powershell脚本,都包含两组域,只有在样本使用第二组域名出现问题时才会使用第一组域名。 ?...当执行cmd.exe时,函数会将STDIN、STDOUT和STDERR重定向,允许payload在命令行处理器中读写。 提供给这个函数调用的域将用来生成DNS查询,用于主要的C2操作。...其中许多域注册时使用的邮箱地址如下: valeriy[.]pagosyan[@]yandex[.]com 其他域时通过NameCheap代理注册服务注册的。
AMSI一些可能失效的地方比如:从WMI名字空间、注册表、事件日志等非常规位置加载的脚本、不用 powershell.exe 执行(可用网络策略服务器之类的工具)的 PowerShell 脚本等。...最低支持 OS 版本 PC:Windows 10 [desktop apps only] 服务器:Windows Server 2016 [desktop apps only] 扫描范围 落地的文件 内存...当脚本准备好提供给脚本引擎时,应用程序可以调用 Windows AMSI API 来请求对内容进行扫描。这样,就可以在决定继续执行之前安全地确定脚本是否是恶意的。 即使脚本是在运行时生成的,也是如此。...AMSI 的工作原理 当用户执行脚本或启动 PowerShell 时,AMSI.dll 被注入进程内存空间。在执行之前, 防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。...后记 对于 Windows 用户,任何在 Windows 10 的内置脚本主机上使用混淆和规避技术的恶意软件都会在比以往任何时候都更深的层次上进行自动检查,从而提供额外的保护级别。
Ansible可以管理包括Windows 7、8.1和10的桌面操作系统以及包括Windows Server 2008、2008 R2、2012、2012 R2、2016和2019的服务器操作系统。...无法加载内置模块 如果powershell失败并显示类似的错误消息, 则尝试访问环境变量指定的所有路径可能会出现问题。...Microsoft提供了一种Win32-OpenSSH通过Windows功能进行安装的方法,但是当前通过此过程安装的版本太旧,无法与Ansible一起使用。...SSH服务使用的文件来配置服务。...以下是已知的: Win32-OpenSSH版本早于外壳类型v7.9.0.0p1-Beta时不起作用powershell 尽管SCP应该可以工作,但是SFTP是推荐的SSH文件传输机制,可在复制或获取文件时使用
快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTLM哈希值。...查看快捷方式的属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹中,因此暂存器将在下一次Windows登录中执行,并且将与命令和控制服务器建立连接。...在Windows登录期间,快捷方式将尝试在注册表项上执行值,该注册表项包含base64格式的stager。 ? 杂项 PoshC 在常见的红色团队工具包之外,还有多个脚本可用于开发恶意快捷方式。...生成的扩展名将包含一个PowerShell命令,该命令将从远程服务器下载文件并直接在系统上执行。...生成的扩展名将包含一个PowerShell命令,该命令将从远程服务器下载文件并直接在系统上执行。
WMI 是几乎所有 Windows 操作系统(Windows 98-Windows 10)中都存在的 Windows 的一部分,这一事实使这些攻击性活动远离蓝队的雷达。...MOF 文件通常包含语句。编译文件时添加到 WMI 存储库 (OBJECTS.DATA) 的类和类实例(mofcomp.exe 可以编译 MOF 文件,它是 Windows 的一部分)。...Rahmat Nurfauzi开发了一个 PowerShell 脚本 ( WMI-Persistence ),它默认使用regsvr32方法执行任意命令,以便从远程服务器运行任意脚本。 ....该脚本使用 WMI 存储库来存储恶意命令,该命令将执行任意脚本、可执行文件或任何其他带有参数的命令。以下函数将检索所有活动的 WMI 事件对象。...“ FailedLogon ”选项时,可以使用失败的 SMB 连接来触发基于 PowerShell 的植入。
1.在 Windows 10 上查找 PowerShell 的最简单方法是在搜索栏中键入”PowerShell”此时出现有64版本和32位; (Tips:建议运行 64 位版本的 PowerShell...说白了原来您需要记忆100个命令现在只需要10个动词和 10 个名词就能搞定, PS 利用这些相似之处减少了解和使用 cmdlet 时需要知道的不同名称的数量。...2.外部可执行文件或具有已注册的文件类型处理程序的文件也被归类为命令。...Tips : 命令输出存在用于注册表、别名、环境变量、文件系统、函数、变量、证书和 WSMan 的内置提供程序,驱动器详细一览。...Tips : 本地计算机和当前用户的执行策略存储在注册表中,您无需在PowerShell配置文件中设置执行策略,并且特定会话的执行策略仅存储在内存中,并且在关闭会话时丢失。
其可读性,易用性都非常的完美。 在运维windows 服务器的时候,其作用是非常大的。简洁高效等等。这里我简单用一个我应用的地方来展示一下。...即使重现了错误,可能提供的信息也不够完整。 为了帮助实现对此类问题的troubleshoot ,我编写了两个PowerShell 脚本。脚本能够可以无人值守,并且日志在一段时间后查询。...我打算在用户的PC上运行这个脚本,并且该PC在不同的网络或者不同的子网。也可以在同一时间在SQLServer服务器运行脚本。会产生三个不同的日志文件,然后进行比较。...做好了以上所有工作后,执行脚本,当法伤网络连接问题时,就会产生日志文件错误日志。如下: ?...但是感觉powershell开发起来更简单,对机器性能影响更小,当然python也是一样的道理。之所以选择使用powershell主要是学习响应的语法便于将来运维windows服务器。
背景 在这个周末我安装了Windows 10 Spring Update,最令我期待的就是它的内置OpenSSH工具,这意味着Windows管理员不再需要使用Putty和PPK格式的密钥了。...我在这里发布了一些PoC代码,从注册表中提取并重构RSA私钥。 在Windows 10中使用OpenSSH 测试要做的第一件事就是使用OpenSSH生成几个密钥对并将它们添加到ssh-agent中。...我从博客中获取了Python脚本,并为它提供了我从Windows注册表中获得的不受保护的base64 blob: ? 可以正常工作了!...由于我不知道如何在Powershell中解析二进制数据,所以我把所有的密钥保存到了一个JSON文件中,然后我可以在Python中导入。Powershell脚本只有几行: ?...从Powershell脚本生成的JSON将输出所有的RSA私钥: ? 这些RSA私钥是未加密的。虽然我创建它们时,添加了一个密码,但它们使用ssh-agent未加密存储,所以我不再需要密码。
PowerShell Core 支持 Windows、macOS 和 Linux 平台,一般运行在window7-window server 2012及以上自带的个人pc和服务器上使用普遍; PowerShell...提供程序可让你访问数据存储(如注册表和证书存储),与你访问文件系统一样方便。...面向对象:PowerShell 基于对象而非文本 交互式脚本编写环境:Windows 命令提示符提供了一个可访问命令行工具和基本脚本的交互式 shell 轻松转换到脚本:借助 PowerShell 的命令可发现性...说白了原来您需要记忆100个命令现在只需要10个谓词和 10 个名词就能搞定; PowerShell 利用这些相似之处减少了解和使用 cmdlet 时需要知道的不同名称的数量。...外部可执行文件,或具有已注册的文件类型处理程序的文件也被归类为命令。
而普通的静态杀毒软件是没办法的。 当用户执行脚本或启动 PowerShell 时,AMSI.dll 被动态加载进入内存空间。...他的本体是一个DLL文件,存在于 c:/windows/system32/amsi.dll。....Powershell(脚本、交互式使用、动态代码求值) System.Management.Automation.dll 3.Windows脚本宿主 wscript.exe cscript.exe...是没有amsi的,所以在powershell2.0上执行恶意脚本就不会被检测到 下图是powershell在各个系统上的预装情况,可以看到现在常见的win10、Windows 2016、2019很少预装有...powershell2.0(amsi是从win10、2016开始存在的),但是由于很多服务需要低版本的powershell,所以在红蓝对抗中也会碰到装有powershell2.0 的机器。
防御角度(蓝队视角): 在执行任何PowerShell命令或脚本时,无论是本地还是通过远程处理,Windows都可以将事件写入以下三个日志文件: • Windows PowerShell.evtx •...• Microsoft-Windows-WinRM/Analytic.etl 通常PowerShell 2.0事件日志可以提供命令活动或脚本执行的开始和停止时间,加载的提供程序(指示正在使用的功能类型...Microsoft-Windows-WinRM/Operational.evtx WinRM操作日志记录Windows远程管理服务的所有使用,包括通过PowerShell远程处理进行的操作。...包括用于访问WinRM的用户名和身份验证机制; • 事件ID 142:如果远程服务器禁用了WinRM,则客户端在尝试启动远程Shell连接时将产生该记录; Microsoft-Windows-PowerShell...set-SBLLogSize -MaxSizeMB 1000 Enalbe-SBL 或者通过GPO启用PowerShell脚本块日志记录功能并记录脚本文件的调用信息: image.png 当然也可以通过修改以下注册表选项来开启
QCloud_Windows_Status_Check_Script.zip 作为最后一篇,主要介绍下余下的八个模块,在脚本中, GetUUID GetLanIp GetOSVersion 以上三个模块是脱离于场景值之外的...(补丁包),同时Systeminfo其实是““我的电脑”右键“属性”的缩影,包含性能信息,在使用云厂商的服务时,这里也可以用作配置对比,在日志收集工具里,它是这么实现的: "————.../功能问题都会体现在这里,当你的环境或者你的客户怀疑应用出现问题(微软系应用),你应该第一时间考虑这里,笔者以前在搞私有云Demo时GUI上经常出现拒绝访问之类的问题,通常GUI上不会给你太多信息,而在日志里会体现出来...,如果系统异常时event也出现问题,这里可能会为空,所以一般也会看wsus的更新日志(云厂商一般通过wsus进行下发补丁,WSUS分为上下游,这里的知识可以通过微软KB库了解): [km15f4o6q1....png] ---- 聊到这里,深度解读了腾讯云所提供的“WIndows Server 日志收集工具”到底是个什么鬼,那么对于Windows Server运维者来说究竟有什么更好的运维手段呢?
1.是Windows原生的2.可以调用Windows API3.无文件执行命令4.可以逃避Anti-Virus的检测(这个其实现在还比较敏感了)5.被大多数程序加入白名单中,标记为可信的6.有许多开源的渗透工具集...PowerShell 提供了 Restricted、AllSigned、RemoteSigned、Unrestricted、Bypass、Undefined 六种类型的执行策略。...•阻止运行所有脚本文件,包括格式化和配置文件 ( .ps1xml)、模块脚本文件 ( .psm1) 和 PowerShell 配置文件 ( .ps1)。 AllSigned •脚本可以运行。...•在运行来自你尚未归类为受信任或不受信任的发布者的脚本之前提示你 RemoteSigned •Windows 服务器计算机的默认执行策略。 •脚本可以运行。...当直接运行该脚本在Restricted(限制)执行策略的机器上时,会出现“此系统禁止运行脚本”的错误。
,手动检查还是比较困难,得整个脚本来做 这里提供一个 powershell 脚本 # 检索注册表中 Index 值为 0 的计划任务名称及其注册表位置 $taskRegistryPath = "HKLM...通过注册表检查 通过我在 Windows Server 2016 上一顿尝试,发现基本上计划任务都有 SD ,这样只要查询没有 SD 的就可以发现了 这里提供一个 powershell 脚本 $registryPath...通过注册表进行查询 思路就是获取所有注册表子项,并将其中无 SD 项的找出来,直接使用计划任务删除 SD 时使用的脚本 $registryPath = "HKLM:\SOFTWARE\Microsoft...10....,不耽误 不保留计划任务注册表项 删除注册表中的计划任务 删除注册表中的计划任务文件夹 直接将计划任务注册表搞坏 其实这几种都是一样的,因为计划任务服务会“缓存”计划任务配置,所以修改注册表后,只有在计划任务服务重启后
Azure 为组织提供了管理用户和服务主体身份所需的所有工具,并具有承诺降低开销、提供更长的正常运行时间并简化管理的有吸引力的功能。...首先,准备好您的 PowerShell 脚本并将其保存为 PS1 文件。...单击“添加”,然后单击“Windows 10:” image.png 这将带您进入“添加 Powershell 脚本”页面。在第一页上,您将输入脚本的名称和简要说明。...查找存在 Intune 服务日志文件夹/文件的所有系统。...在以下位置执行 PowerShell 脚本时,会在端点上创建两个文件: C:\Program 文件 (x86)\Microsoft Intune 管理扩展\Policies\Scripts C:\Program
一、PowerShell简介 PowerShell是一种基于任务的命令行shell和脚本语言,构建于.NET之上,通常用于管理基于Microsoft Windows的操作系统的技术(Linux和MacOS...Windows PowerShell的内置命令为cmdlets,用户可以使用其管理计算机,其具有完整的用户开发的脚本语言和丰富的表达式解析程序。...文中提供了PowerDrive源码,并证明其去混淆效果优异,但所使用的数据集链接已失效。PowerDrive可以与其他系统集成,提供有关PowerShell恶意软件功能的其他信息。...(二)代码逻辑关系梳理 第一部分,日志上传过程: 1.在日期为1号并且注册表中LogFile的值为False时(日志文件没有上传到服务器的时候),若在文档/模板宏代码中找到标记Marker(Marker...2.c:\netldx.vxd为ftp的配置文件,其中内容为登录服务209.201.88.110,并将日志文件传到服务器上。 3.注册表中LogFile的值设置为True,表示已上传。
与 AMSI 集成的 Windows 组件 AMSI 功能已集成到 Windows 10 的这些组件中。...用户帐户控制或 UAC(EXE、COM、MSI 或 ActiveX 安装的提升) PowerShell(脚本、交互使用和动态代码评估) Windows 脚本宿主(wscript.exe 和 cscript.exe...可以利用 AMSI 技术的应用程序类型包括脚本引擎、需要在使用前扫描内存缓冲区的应用程序,以及处理可能包含非 PE 可执行代码(例如 Microsoft Word 和 Excel 宏或 PDF 文档)的文件的应用程序...参考微软文档我们可以知道如何使用 AMSI 注册提供程序 DLL 1.需要查看确认 Windows 注册表项存在: HKLM\SOFTWARE\Microsoft\AMSI\Providers...返回值 返回码描述 S_OK 注册表项已成功创建。 SELFREG_E_TYPELIB 服务器无法完成其类使用的所有类型库的注册。 SELFREG_E_CLASS 服务器无法完成所有对象类的注册。
》 方法18:特殊注册表键值 在注册表启动项创建特殊名称的注册表键值,用户正常情况下无法读取(使用Win32 API),但系统能够执行(使用Native API) 参考: 《渗透技巧——"隐藏"注册表的创建...》 《渗透技巧——"隐藏"注册表的更多测试》 方法19:powershell配置文件 修改powershell配置文件,后门在powershell进程启动后触发 查看是否使用配置文件: Test-Path...Windows系统服务对应可执行文件的路径,如果路径包含普通用户的写权限,那么该服务可被用来提升权限 powershell代码: $ErrorActionPreference="SilentlyContinue...3389远程连接: rdesktop 192.168.1.1:3389 Windows: mstsc.exe 非服务器版本的Windows系统,默认只允许一个账户登录 具体表现为: 远程登录时,使用与原系统相同的账户...使用/D需要管理员权限 应用: 更改释放文件的路径 ---- Tips 51 powershell在执行脚本时传入参数 powershell -executionpolicy bypass -Command
领取专属 10元无门槛券
手把手带您无忧上云