首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Windows应急响应之命令行排查

SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 通过ProfileImagePath确认 当前在线用户: query user 查看用户上次登录时间...: C:\Windows\System32\drivers\etc netstat -ano -a :显示所有连接和侦听端口 -b :显示在创建每个连接或侦听端口时涉及的可执行程序 -n :以数字形式显示地址和端口号...] [/d[{+ | -}] [{MM/DD/YYYY | DD}]] 下表列出了在 /c Command 命令字符串中能够使用的变量 变量 描述 @file 返回匹配项的名称,双引号。...@path 返回匹配项的完整路径,双引号,包括驱动器号和文件扩展名(如果有)。 @relpath 返回匹配项的相对路径,双引号和相对于起始目录(由/ P给出)。...@ftime 返回文件上次修改时间,采用当前用户的本地化时间格式 /D date 选择文件,其上一次修改日期大于或等于 (+), 或者小于或等于

11610

新型在野远控木马Woody RAT,针对俄罗斯航空航天组织

在初始化前,恶意软件通过以 0x8007 作为参数调用 SetErrorMode 来有效地屏蔽所有错误报告。 Cookie Woody RAT 使用 HTTP 与 C&C 服务器进行通信。...恶意软件在运行时通过生成 32 字节随机值获取 AES-CBC 的密钥,使用 RSA-4096 算法对这 32 字节加密回传 C&C 服务器。...C&C命令 恶意软件使用一个特定线程与 C&C 服务器通信,并使用另一个线程来执行从 C&C 服务器接收到的命令。为了保持线程同步,恶意软件利用事件和互斥锁。...UPPR:在失陷主机下载文件并执行(UPLD + PROC) SDEL:删除失陷主机的文件 _DIR:列出指定目录的所有文件与属性(文件名、类型、所有者、创建时间、上次访问时间、上次写入时间、大小、权限...WoodySharpExecutor 支持恶意软件运行从 C&C 服务器接收的 .NET 代码, WoodyPowerSession 支持恶意软件执行从 C&C 服务器接收的 PowerShell 命令和脚本

95830
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    StripedFly:揭开恶意软件常年隐身的秘密

    这种架构方法是APT恶意软件的标志,每个模块负责实现和注册回调函数,该回调函数在与C2服务器的连接建立或脱机时触发,或者在从C2服务器接收消息时触发。这些模块中的功能分为两类:服务和扩展功能模块。...升级/卸载 当与C2服务器建立初始连接时,该服务模块会生成一个8字节的受害者ID,存储它,然后与所用的system.img文件的散列一起重用它,用于向服务器返回报告。...一旦凭据收集模块完成其任务,SSH感染程序就会启动,它会过滤SSH密钥和凭据的搜索结果,一旦找到,就激活专用线程。该线程的随机超时中断时间从10分钟到2小时不等,并启动渗透进程。...它还向C2服务器如实报告哈希率、工作时间、发现的错误和错误统计信息。...研究人员的假设依赖PE时间戳的准确性,虽然不可能验证初始EternalBlue模块时间戳的真实性,但恶意软件的后续更新含有与遥测数据大致匹配的时间戳,因此初始时间戳很可能也是准确的。

    32110

    PowerShell 降级攻击的检测与防御

    接下来,我们希望通过监视 PowerShell 和 Windows(使用 EventSentry )生成的各种事件来检测恶意 PowerShell 活动。...Powershell 降级攻击 在之前的博客文章中,我谈到要尽可能避免使用 PowerShell v2,因为它提供了不记录日志的功能,理想情况下应该部署 PowerShell v5.x 或更高版本,因为它提供了更好的日志记录功能...不一定,因为我们知道 powershell V2 不记录任何日志,而且每个主机上都安装了 powershell V2,尽管只是附带安装了相应的 .NET 框架而且并未默认使用。...-v*2 这样的正则匹配来检查异常参数。...,因为 powershell 的执行好都是很短的时间,在使用 powershell V2 出发终止时,正常的 powershell 进程很大可能不会同时存在。

    2.3K00

    PowerShell若干问题的研究

    一、PowerShell简介 PowerShell是一种基于任务的命令行shell和脚本语言,构建于.NET之上,通常用于管理基于Microsoft Windows的操作系统的技术(Linux和MacOS...具体Empire平台的搭建文档见链接[3],网上已有很多实验报告,这里对简单的安装不做赘述,仅对未提到的“坑”及注意点进行整理如下: 1.在Empire安装的过程中,需使用root账户进行实验。...(二)代码逻辑关系梳理 第一部分,日志上传过程: 1.在日期为1号并且注册表中LogFile的值为False时(日志文件没有上传到服务器的时候),若在文档/模板宏代码中找到标记Marker(Marker...2.c:\netldx.vxd为ftp的配置文件,其中内容为登录服务209.201.88.110,并将日志文件传到服务器上。 3.注册表中LogFile的值设置为True,表示已上传。...该用户再用模板创建word时候,此时模板来感染文档,将文档的宏代码替换为模板的宏代码,此时文档被感染。 2.当文档的宏感染模板时,加上了时间、日期、用户名、地址等内容在代码的最后。

    1.6K00

    使用 DISM 安全清理 C 盘 WinSxS 文件夹空间

    本文将介绍如何使用系统内置 DISM 工具进行安全清理 C 盘空间,清理 WinSxS 文件夹里面的可回收删除的程序包空间 开始之前,先使用管理员权限打开 CMD 或 PowerShell 命令行窗口。...在 Win11 下,可右击开始菜单,点击终端管理员打开管理员权限的 PowerShell 命令行窗口 先查看 WinSxS 文件夹里面的可回收删除的程序包数量和上次清理的时间,以及 WinSxS 文件夹所占用的实际空间...:13 可回收的程序包数 : 1 推荐使用组件存储清理 : 是 各个项的说明如下: Windows 资源管理器报告的组件存储大小:Windows 资源管理器计算的 WinSxS 文件夹的大小值。...此值不会考虑 WinSxS 文件夹中使用的硬链接。 组件存储的实际大小:此值考虑 WinSxS 文件夹中的硬链接。 它不会排除通过硬链接与 Windows 共享的文件。...与 Windows 共享:此值提供使用硬链接的文件的大小,这些文件使用硬链接以便同时显示在组件存储和其他位置(为便于正常操作 Windows)中。

    2.4K20

    1.PS编程入门基础语法

    然后着时间的推移,我逐渐掌握了编写脚本、函数和模块的技能。...$ForEach : 包含 ForEach-Object 循环的枚举数。可以对 $ForEach 变量的值使用枚举数的属性和方法。 此变量仅在运行 For 循环时存在,循环完成即会删除。...将标量输入提交给 -match 或 -notmatch 运算符时,如果检测到匹配,则会返回一个布尔值,并使用由所有匹配字符串值组成的哈希表填充 $Matches 自动变量。...- % 2) 比较运算符: PowerShell 包含许多比较运算符,用于比较值或查找与特定模式匹配的值。...-Match 匹配指定的正则表达式 -NotMatch 不匹配指定的正则表达式 -Contains 确定集合中是否包含指定的值 -NotContains 确定集合是否不包含特定值 -In

    20.8K20

    PowerShell渗透–Empire

    就可以使用powershell的代理功能还可以快速在后期部署漏洞利用模块,内置模块有键盘记录,Mimikatz,绕过UAC,内网扫描等,可以躲避网络检测和大部分安全防护工具,类似于Meterpreter...杀软反应还是很迟钝的,慢了7,8分钟,应该是本地病毒库没有匹配到特征在云端分析的 ? 将样本上传virustotal进行分析,57家只有一家能够准确识别该宏病毒, 除了白利用,这种效果还是很理想的。...连接主机 agents #列出当前已连接的主机 interact #连接主机 remove stale #删除失效主机 help agentcmds #查看常用命令 使用CMD命令时,要使用”shell...powershell/situational_awareness/host/winenum 列举系统中所有有用信息,报告各种日志、RDP登录信息等 usemodule powershell/situational_awareness.../reverse_dns 显示当前内网dns服务器地址 usemodule powershell/situational_awareness/host/dnsserver 查找域管登录服务器IP usemodule

    2.2K21

    Ansible 客户端需求–设置Windows主机

    Ansible可以管理包括Windows 7、8.1和10的桌面操作系统以及包括Windows Server 2008、2008 R2、2012、2012 R2、2016和2019的服务器操作系统。...如果需要重新启动username并且password已设置和参数,则脚本将从重新启动后自动重新启动并登录。该脚本将继续执行,直到不需要其他操作并且PowerShell版本与目标版本匹配为止。...如果未设置username和 password参数,脚本将提示用户手动重新启动并在需要时登录。下次登录用户时,脚本将从上次停止的地方继续,然后继续该过程,直到不需要其他操作为止。...使用GPO配置键后,该键[Source="GPO"]将在值旁边包含文本。 常见的WinRM问题 由于WinRM具有广泛的配置选项,因此可能难以设置和配置。...警告 使用此功能需要您自担风险!在Windows上使用SSH是试验性的,该实现可能会在功能版本中进行向后不兼容的更改。服务器端组件可能不可靠,具体取决于所安装的版本。

    10.1K41

    传播恶意软件最有效帮手:超95%的PowerShell脚本都是恶意脚本

    但赛门铁克最近的一份报告指出,超过95%的PowerShell脚本实际上都是恶意脚本。 赛门铁克在报告(传送门)中指出,绝大部分恶意PowerShell脚本都是扮演下载的角色。...赛门铁克分析,95.4%的PowerShell脚本为恶意脚本,这个结果表明来自外部的PowerShell脚本程序对企业构成了重大威胁,尤其是在使用shell 框架的企业中。 ?...不过实际上,报告中一直在强调,最常与PowerShell匹配的还是Office宏;另外各种Exploit Kits漏洞利用工具也经常采用PowerShell,比如说相当知名的RIG、Neutrino、Magnitude...除此之外,赛门铁克的这份报告还详细谈到了黑客针对PowerShell脚本的混淆技术;列出了不少PowerShell恶意程序的相关信息,包括勒索软件,键盘记录器,以及银行和后门木马。...另外,我们也应该(尤其是安全人士)经常审视PowerShell的命令行,通常合法脚本的内容和目的都很直观,而攻击脚本通常都使用Base64加密命令行,并且经常把各种脚本团塞在一行内,出现这种情况时,我们一眼就能看出端倪

    1.6K60

    Red team之Octopus(章鱼)的使用

    Octopus在与C2通信时被设计为隐秘且隐蔽的,因为它在Powershell代理与C2服务器之间的加密通道默认使用AES-256。 Octopus的功能: 通过HTTP / S控制代理。...加载外部Powershell模块。 在C2和代理之间使用加密的通道(AES-256)。 使用不起眼的技术执行命令并传输结果。 为每个目标创建自定义侦听器和多个侦听器。...生成不同类型的有效载荷。 支持Powershell 2.0或更高版本的所有Windows版本。 在不触摸powershell.exe进程的情况下运行Octopus Windows可执行代理。...BindIP:侦听器将使用的IP地址。 BindPort:要监听的端口。 主机名:您将用于与之通信的主机名。 时间间隔:代理在检查命令之前将等待的秒数。...您还可以将Powershell模块加载到Octopus中以在攻击过程中为您提供帮助,您只需要将要使用的模块复制到“模块”目录中,然后在与代理进行交互时执行“load module_name”以直接加载模块

    1.6K30

    刚去面试现场聊了一个多小时的Redis ,悄悄分享给大家!

    新版本的redis直接自己构建了VM 机制 ,一般的系统调用系统函数的话,会浪费一定的时间去移动和请求。 redis当物理内存用完时,可以将很久没用到的value交换到磁盘。.../redis-server 2.运行启动: redis-server 加上要修改配置名和值(可以是多对),没有配置的将使用默认配置。...手动触发: save: 阻塞当前Redis服务器,直到RDB过程完成为止,如果数据比较大的话,会造成长时间的阻塞, 线上不建议。...2.AOF缓冲区根据对应的策略向硬盘做同步操作。 3.随着AOF文件越来越大,需要定期对AOF文件进行重写,达到压缩的目的。 4.当redis服务器重启时,可以加载AOF文件进行数据恢复。...它的优点是空间效率和查询时间都比一般的算法要好的多,缺点是有一定的误识别率和删除困难。 Tips:当判断一定存在时,可能会误判,当判断不存在时,就一定不存在。 #### 48.什么是缓存穿透?

    60730

    渗透测试时关于文件时间的小技巧

    来源:http://www.51testing.com 前题   我们都知道每个文件都有三个时间属性,分别为创建时间,上次修改时间,上次访问时间。...我们可以使用powershell命令查看文件的所有属性(ls)[0]|fl *命令解析:以列表的形式展示当前目录第一个文件的所有信息 ?...发现菜刀只是修改了上次修改时间,上次访问时间,创建时间仍然是正确的。  应急响应   针对这种情况,我们只需要对磁盘进行搜索,以创建时间为准倒序排列即可发现黑客上传的webshell。...最后   为了真正修改文件时间,在使用菜刀修改文件时间后,还需要执行命令powershell ((Get-ChildItem shell.php).CreationTime='2000/8/30 23:...59:39')实际渗透时创建时间应该略早于修改时间,或一致 ?

    98220

    第46篇:伊朗APT组织入侵美国政府内网全过程揭秘(上篇)

    本期分享一个真实的APT实战案例,我查看了公布在网上的英文分析报告,并对部分汉化文章的翻译错误进行了改正,力图还原真实过程分享给大家。有些技术细节,英文报告中并没有提到,还望大家谅解。...Part2 流程图 首先放一张我画的此次APT事件的流程图,这个APT案例的图示非常难画,还好之前在qax时"猛哥"分享了很多作图技巧,稍后文章会给出此次APT流程的详细讲解。...Part3 美国政府的分析报告 2022年11月16日,美国国家网络安全和基础设施安全局(CISA)与联邦调查局(FBI)发布了联合公告,由伊朗政府赞助的一个APT组织入侵了美国联邦民事行政部门(FCEB...服务器的transfer.sh脚本,下载了30MB的各种文件,这些文件主要是以下几款黑客工具: 1 PsExec 供系统管理员使用的带有微软签名的工具。...随后,攻击者在VDI-KMS服务器上执行Mimikatz程序获取服务器的账号凭证,同时创建了一个仿冒的域管理员账户。使用这个新创建的域管账号,攻击者通过RDP登录的方式,内网横向了很多主机权限。

    1.6K20

    报告:PowerShel lGallery易受输入错误和其他包管理攻击

    Aqua Nautilus最新报告指出,PowerShell Gallery关于包名称和所有者的政策中仍然存在重大缺陷,这些缺陷使得在该注册表中不可避免地发生typosquatting攻击,同时也使用户极难辨别软件包的真实所有者...然而,这只会将他们引向虚假作者的配置文件,因为攻击者在PowerShell Gallery中创建用户时可以自由选择任何名称。...披露时间表 2022年9月27日——Aqua研究团队向MSRC报告了缺陷。 2022年10月20日——MSRC证实了研究人员报告的行为。...缓解和建议 如上所述,这个问题仍然是可重复出现的,所以在使用PowerShell Gallery中的包时需要更加注意和谨慎,直到微软修复了这些缺陷。...使用可信私有存储库:这可以确保存储库具有有限的互联网访问和用户访问,用户可以在其中管理和使用自己的私有模块,同时还可以以更安全的方式存储来自公共PowerShell gallery的模块。

    22720

    2020年黑客首选10大Windows网络攻击技术

    此外,由于分析正常的PowerShell 和恶意PowerShell需要一定时间,最好对于经常使用的脚本和PowerShell进程建立一个基准,帮助过滤,从而发现可疑的cmd.exe和混淆命令。...当试图创建新的服务和新的进程时,建议查看日志中的事件4697、7045和4688。 4、16%:计划任务 报告指出,攻击者使用计划任务来建立持久性。...7、6%:文件或信息混淆 在攻击者希望隐藏其行动时,会使用诸如Base64编码之类的工具隐藏其攻击过程。...建议设置使用PowerShell的政策,并且只使用签名的脚本执行。...为此,建议不是直接查找文件名而是查找进程,从而确定攻击者是否正试图使用此技术进行攻击。如果可以,请使用可以比较文件哈希值的系统,这样即使文件名更改,哈希值也不会偏离。

    1K50

    持续交付之Jenkins+Ansible+Python搭建自动化部署框架(win版)

    Ansible 是一个自动化运维管理工具,支持 Linux/Windows 跨平台的配置管理,任务分发等操作,可以帮我们大大减少在变更环境时所花费的时间。...100 台服务器上 比如:每当有新服务器加入工作环境时,你都要为新服务器部 redis 服务,也就是说你需要经常重复的完成相同的工作 这些场景中我们都可以使用到 Ansible Ansible架构 ?...如果需要重新启动 username 并且 password 已设置和参数,则脚本将从重新启动后自动重新启动并登录。该脚本将继续执行,直到不需要其他操作并且PowerShell版本与目标版本匹配为止。...如果未设置 usernam 和 password 参数,脚本将提示用户手动重新启动并在需要时登录。下次登录用户时,脚本将从上次停止的地方继续,然后继续该过程,直到不需要其他操作为止。...当主机是域的成员时,这是创建侦听器的最佳方法,因为配置是自动完成的,无需任何用户输入。有关组策略对象的更多信息,请参阅 组策略对象文档。 使用 PowerShell 创建具有特定配置的侦听器。

    2.8K10

    powershell2.0的弊端

    1、7z在powershell2.0命令行的特定解压命令有问题,兼容性差,得换个powershell语句才行 例如下面代码执行到解压哪一行时就走不下去,所以我才用#注释了它,然后用另一个兼容性高的powershell...中,不论是否匹配到,都不会报错,但在powershell2.0中要么第2句$OEMNumbers匹配不到(语法问题,调整后可以匹配到),要么匹配不到则在foreach语句中出现异常 $RedHatDrivers1...这可能是因为您正在使用的 .NET Framework 或 PowerShell 的版本过低。 在 PowerShell 中,TLS 1.2 由 .NET Framework 提供支持。....4.5,或者您的 PowerShell 版本低于 3.0,那么您将无法使用 TLS 1.2。...]::Tls 请注意,SSL 3.0 和 TLS 1.0 都存在已知的安全问题,不推荐使用。

    29400

    Exchange邮箱服务器后利用

    Exchange邮箱服务器后利用 目录 使用PSSession连接Exchange服务器管理邮件 导出邮件 导出所有用户的所有邮件 导出指定用户的所有邮件...搜索邮件的常用命令 使用powershell脚本搜索 在Exchange服务器上直接管理邮件 导出邮件 导出所有用户的所有邮件 导出指定用户的所有邮件...使用powershell脚本导出邮件 搜索邮件 搜索邮件的常用命令 使用powershell脚本搜索 作者:谢公子 @深蓝攻防实验室 当我们拿到了...使用PSSession连接Exchange服务器管理邮件 首先使用PSSession连接Exchange服务器 #使用PSSession连接Exchange服务器 $User = "xie\administrator...,包括邮件数和上次访问邮箱的时间 Get-Mailbox | Get-MailboxStatistics #获得所有OU Get-OrganizationalUnit #查询指定用户指定时间起发送邮件的记录

    3.1K10

    使用Powershell 获取内网服务器信息和状态

    文章来源|MS08067 内网安全知识星球 本文作者:贝多芬不忧伤(Ms08067内网小组成员) 收集服务器信息和状态 在内网渗透过程中,有时我们是需要了解不同的服务器的基本软硬件配置信息的,同时也可能需要...将它们生成报告进行归档,那么通过 Powershell,我们也能够轻松的去完成这个过程。...本文中,我 们将主要说明如何通过 Powershell 收集系统信息和生成报告。...使用 Powershell 提供的 Module 和相关命令:比如我们在前面使用过的Get-Process 获取当前计算机中运行的进程 2....在没有 Powershell 的年代,使用 VBScript 编写脚本时获取系统信息时,WMI 是不二之选; 从 Windows Server 2008 到 Windows Server 2016 ,微软一直致力不断完善

    2.4K40
    领券