通常为了保证我们从网上下载的文件的完整性和可靠性,我们把文件下载下来以后都会校验一下MD5值或SHA1值(例如验证[下载的Win10 ISO镜像]是否为原始文件),这一般都需要借助专门的MD5检验工具来完成...但其实使用Windows系统自带的Windows PowerShell运行命令即可进行文件MD5、SHA1值校验。...Windows PowerShell命令可以校验的Hash值类型包括:SHA1、SHA256、SHA384、SHA512、MACTripleDES、MD5、RIPEMD160,暂不支持校验CRC32值。...如果不带-Algorithm参数,也就是不指明验证的Hash值类型,那么默认验证的就是SHA256值。...巧用Win10自带的PowerShell命令校验文件的Hash值(MD5、SHA1/256等) 如果想要校验它的SHA1值,则运行如下命令: > Get-FileHash C:\Windows\notepad.exe
知道了简写,我们就可以将Powershell的工作目录切换到注册表内。...比如说,要获取这个注册表键的值,就可以直接输入Get-Item .了。注意这个点不能省去,它代表当前工作目录。...$path = "HKCU:\Control Panel\Desktop" 如果要新建注册表项,可以使用New-Item命令。我们可以使用注册表编辑器regedit来验证项是否创建成功。...Remove-Item -path $path\hellokey -Recurse 获取当前.NET版本 下面的参考资料中列出了一个MSDN上的文档,告诉我们如何读取注册表的值来判断当前安装了.NET...$workbook = $excel.Workbooks.Open("XXX.xlsx") 如果要创建一个新的工作簿,使用Add函数。
注意,if-else中间可以增加新的判断elseif,如下所示: ? ? 2.switch语句 Switch语句主要用于多种情况的判断,这里在本地创建一个test01.ps1文件,并执行该代码。 ?...下面这个代码是接收两个参数并显示的功能。 ? ? 2.函数返回值 函数返回值通过return实现,可以返回多个值。下面是test13.ps1例子。 ? ?...七.Powershell注册表操作 注册表(Registry,繁体中文版Windows操作系统称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。...在Powershell中显示注册表指令如下: ? ? 对应注册表图形界面。 ? ? ? 对应图形界面。 ? 其他访问也类似。 ? ? 对应图形界面: ? 读取键值 ? ? 设置键值 ?...由于注册表不能随便修改,很容易造成系统故障,后续随着作者深入学习,了解更多网络安全中Powershell及注册表工作再来分享,希望读者喜欢该系列文章。
0x00 前言 知名恶意软件Poweliks曾使用过的一个后门技术,在注册表启动位置创建一个特殊的注册表键值,通过mshta来执行payload 对于这个特殊的注册表键值,在正常情况下无法对其访问,这其中的原理是什么呢...更为重要的是,像regedit.exe和其他对注册表的操作,通常会调用Win32 API,这就导致该注册表无法被读取,也就实现了所谓的”隐藏” 综上,创建方法为: 通过Native API创建一个以”...(hKey,"test1"); 删除注册表项: MyDeleteKey(hKey); 程序输出如下图,成功对隐藏注册表项下的正常键值进行操作 接下来,对Dan Madden的工程添加新的功能:创建、读取...参照2,需要注意”\0”的影响 4、删除注册表键值 对应源代码中的MyDeleteHiddenValueKey 参照2,需要注意”\0”的影响 实际测试: 创建注册表项test2,创建隐藏注册表键值\...,分析原理,编写c程序实现功能,测试powershell实现代码
New-ItemProperty 命令 - 为项创建新属性并设置其值。...New-Item -Path "Registry::HKEY_LOCAL_MACHINE\SOFTWARE\WeiyiGeek\test\1" -Force # 使用-itemType 和 -value 参数给你新创建的键来赋一个新值...(但是需要注意SetValue()方法只对刚创建的键有效,因为添加新键时PowerShell会以写权限打开它。...: 设置键的值 md, New-Item : 创建一个新键(项) Del, Remove-Item : 删除一个键(项) New-ItemProperty : 给键创建一个新值 Clear-ItemProperty...: 删除键的值内容 Remove-ItemProperty : 删除键的值 Tips:注册表几乎存储了Windows的核心配置。
今天给大家讲解PowerShell系统默认内置的Provider介绍,希望对大家能有所帮助!...六、注册表 Registry ProviderRegistry Provider负责管理注册表,使得应用程序能够存取及修改注册表中的信息。...透过Registry Provider,应用程序可以方便地存取注册表中的键值资料,并且可以自订键值对象的名称、值、描述等属性。...HKCU:获取当前用户注册表cd hkcu:get-childitem七、变量 Variable Provider Variable Provider 主要是获取当前操作系统中各变量的值(不包括系统变量的信息...),还包含PowerShell的首选项配置和当前Session所创建的变量。
可以看到fodhelper.exe会查询注册表中 HKCU\Software\Classes\mscfile\shell\open\command的值,后面也会多次出现shell\open这个注册表项,...使用Powershell中的New-Item命令就可以在指定注册表中创建一个新的键,使用命令New-Item "HKCU:\Software\Classes\ms-settings\Shell\Open...\command" -Force来创建一个新的注册表项。...执行fodhelper.exe便会得到一个已经绕过UAC限制的CMD,上述操作汇总成Powershell脚本来执行。...可以在default值中设置启动程序,在Powershell中运行代码清单4-23所示代码,执行结果如图1-9所示,虽然像这种注册表的Bypass UAC还有很多,不过大部分都只能针对Windows 10
,手动检查还是比较困难,得整个脚本来做 这里提供一个 powershell 脚本 # 检索注册表中 Index 值为 0 的计划任务名称及其注册表位置 $taskRegistryPath = "HKLM...创建计划任务 删除 test1 ,创建新的计划任务 test2 2....删除计划任务 直接通过 powershell 删除就好,如果这种方法还同时使用了 Index 置 0 ,可以考虑从注册表修改 Index 为非 0 值, 之后通过 powershell 删除 Unregister-ScheduledTask...创建文件夹及计划任务 文件夹 testdir 计划任务 test5 2. 查看注册表信息 文件夹也有一个 SD 值,或者说只有一个 SD 值 3....重启计划任务服务 重启计划任务后,计划任务依旧隐藏,没有产生新的计划任务文件,计划任务仍旧有效 11. 把注册表项都删除了会怎样呢?
pythonz/etc/bashrc ]] && source $HOME/.pythonz/etc/bashrc" >> ~/.bashrc echo 重启bash bash echo 安装一些必要的环境...gdbm-devel db4-devel expat-devel libpcap-devel xz-devel pcre-devel echo 安装目标版本 pythonz install 3.6.0 echo 创建虚拟环境
作者 | Renato Losio 译者 | 明知山 策划 | 丁晓昀 最近,AWS 发布了一个新的 PowerShell 自定义运行时,可让 AWS Lambda 运行使用 PowerShell...AWS 的无服务器开发者布道师 Julian Wood 介绍了它的优势: 新的 PowerShell 自定义运行时使用了原生 PowerShell,不需要编译 PowerShell 并托管在.NET 运行时上...我对之前的 PowerShell Lambda 开发体验不是很满意,所以我创建了一个自定义运行时来提升用户体验。他们采用了我的概念,并投入资源使其成为现实。我很高兴它终于发布了。...新的自定义运行时允许开发人员直接在 Lambda 控制台中编辑 PowerShell 代码,并支持其他附加功能,比如 Add-Type 和各种不同的处理程序选项。...后百度员工对领导不满,删改公司数据库被判刑;微软在美取消竞业协议;TikTok中国管理团队与海外员工冲突引发离职潮 |Q资讯 GitHub官宣“报废”Atom编辑器,创始团队不甘心表示正用Rust重写 印度萌新令人绝望的操作
1、New-Item 创建新项命令cmdlet New-Item 将创建新项并设置其值。 可创建的项类型取决于项的位置。 例如,在文件系统 New-Item 中创建文件和文件夹。...在注册表中, New-Item 创建注册表项和条目。New-Item 还可以设置它创建的项的值。 例如,在创建新文件时, New-Item 可以向文件添加初始内容。...可以指定新项的名称或者指定新项的路径 ● -Path:指定新项的位置的路,如果省略的话表示当前目录,支持多个字符串通过逗号分割 ● -ItemType:指定新项目的指定提供者的类型(File 文件,SymbolLink...符合链接,Directory 目录,Junction,HardLink) ● -Value:指定新项的值。...还可以通过管道将值传递给 New-Item ● -Confirm:用于创建操作运行cmdlet之前是否需要确认 ● -Force:针对文件夹,不会覆盖,只会返回之前创建的文件夹,针对文件或者注册表会覆盖文件内容
我们来确认一下,有没有安装什么软件把注册表给封了。如杀毒软件,防火墙等。把这些软件关了之后,再安装软件试试;如果不行,就把杀毒软件卸载了,再安装软件试试。 2....我们可以看到窗口右侧有很多选项,在“组策略”选项中找到:“阻止访问注册表编辑工具”,左键双击:“阻止访问注册表编辑工具”; ? 6....在弹出的“阻止访问注册表编辑工具”窗口中,选择:“已禁用”并点“确定”,退出“本地组策略编辑器”,则已经为注册表解锁。 image.png 7....第三步:通过上述操作后,如果还不能正常安装软件,可能是系统中毒了,我们可以使用专用的杀毒软件进行全盘杀毒,并把隔离区的病毒文件删除,防止二次病毒感染。
据观察,被认为是伊朗 APT35 国家支持组织(又名“迷人小猫”或“磷”)的一部分的黑客利用 Log4Shell 攻击来释放新的 PowerShell 后门。...基本系统枚举——该脚本收集 Windows 操作系统版本、计算机名称以及 $APPDATA 路径中的文件 Ni.txt 的内容;该文件可能由主模块下载的不同模块创建和填充。...C2发送的附加模块如下: 应用程序– 枚举卸载注册表值并使用“wmic”命令确定受感染系统上安装了哪些应用程序。 屏幕截图- 根据指定的频率捕获屏幕截图并使用硬编码凭据将它们上传到 FTP 服务器。...命令执行- 具有 Invoke-Expression、cmd 和 PowerShell 选项的远程命令执行模块。 清理- 删除受感染系统中留下的所有痕迹的模块,例如注册表和启动文件夹条目、文件和进程。...“CharmPower”是一个例子,说明老练的参与者可以如何快速响应 CVE-2021-44228 等漏洞的出现,并将来自先前暴露工具的代码组合在一起,以创建可以超越安全和检测层的强大而有效的东西。
为此,FireEye Mandiant的红队创建了名为SharPersist的新Windows持久性工具包。...Service 创建新的 Windows 服务 service Yes Yes No Registry 注册表键/值创建/修改 reg No Yes No Scheduled Task Backdoor...注册表持久性 SharPersist中支持的注册表项的完整列表如下表所示。 注册表项代码 (-k) 注册表项 注册表值 是否需要管理权限? 支持 Env 可选附加组件(-o env)?...下图中显示的示例在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”注册表项中创建名为“Test”的注册表值,其值为“cmd.exe/c calc.exe...我们正在删除先前创建的“Test”注册表值,然后我们列出了“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”的所有注册表值,以验证其是否已被成功删除
我们将为新的key Powershell菜单命名,因为在Windows 8和Windows 10中(正如您在我们的屏幕截图中看到的),Powershell key已经存在,可以提供其他功能 现在,您将更改新...无论您是否采取了创建扩展值的可选步骤,流程的其余部分都是相同的。接下来需要在powershellmenu键中创建一个新键。右键单击powershellmenu键并选择New >键。...将新键命名为“command”。 现在,您将更改新命令键中的(默认)值。选择命令键后,双击(默认)值以打开它的properties窗口。 (默认)值指定在上下文菜单上选择该选项时将运行的实际命令。...PowerShell窗口应该立即打开,并在几分钟后将您放入右键单击的文件夹中。 如果您想随时逆转更改,只需回到注册表并删除您创建的powershellmenu键。...这将自动删除您在powershellmenu键中创建的任何值和其他键,并从上下文菜单中删除该命令。
1、CMD 具体步骤如下: 1-1 创建一个批处理文件 比如:在系统的用户目录创建一个批处理文件 alias.bat 1-2 在批处理文件中,定义别名 使用关键字「 doskey 」定义别名,$*...HEAD 1-3 修改注册表 首先,通过 win+r,输入关键字「 regedit 」打开注册表 然后,在地址栏中输入下面地址 计算机\HKEY_CURRENT_USER\Software\Microsoft...\Command Processor 最后,选中 Command Processor 项右键,创建一个新的字符串值(名称必须设置为 AutoRun,数值数据设定为上面创建的批处理文件的绝对路径) PS...:如果 Command Processor 不存在,可以在「 Microsoft 项」上右键,创建一个新的项,名称设置为 Command Processor 1-4 重启 CMD 命令窗口并使用 1-...通过测试,我们发现在 CMD 中定义的 Alias 并不能在 PowerShell 中使用 所以我们需要针对 PowerShell 另外设置 Alias 具体步骤如下: 2-1 找到配置文件绝对路径
在MSDN的一篇关于使用新Windows ssh-agent文章的以下部分,引起了我的注意: ?...过去我曾有过劫持ssh-agent.的相关经验,并尝试过一些有趣的测试,所以我决定开始查看Windows是如何“安全地”用这个新的服务来存储您的私钥的。...测试注册表值 果然,在注册表中,可以看到我使用ssh-add添加的两个键项。密钥名称是公开密钥的指纹,并且存在一些二进制blobs: ? ? 我能够pull注册表值并操作它们。...GitHub Repo 第一个是Powershell脚本(extract_ssh_keys.ps1),用于查询注册表中被ssh-agent保存的任何密钥。...从Powershell脚本生成的JSON将输出所有的RSA私钥: ? 这些RSA私钥是未加密的。虽然我创建它们时,添加了一个密码,但它们使用ssh-agent未加密存储,所以我不再需要密码。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager 上述注册表下有一个名为BootExecute的多字符串值键,它的默认值是...根据文章隐蔽后门——Image File Execution Options新玩法了解到可以修改GlobalFlag的值,达到程序A静默退出结束后,会执行程序B的效果,且在注册表看不到具体值,同时Autorun..._dl2、修改注册表 注册表位置:HKEY_CURRENT_USER\Software\Classes\CLSID\创建项{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}创建子项..._dl 2、修改注册表1 注册表位置:HKEY_CURRENT_USER\Software\Classes\CLSID\ 创建项{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7...和powershell.exe进程的启动参数 (3)bitsadmin bitsadmin.exe是windows自带的可用于创建下载或上载作业并监视其进度,bistadmin可以指定下载成功之后要进行什么命令
wait函数的返回值; wait等待任意的一个子进程终止退出,如果子进程都不结束,wait将会一直处于一个阻塞的状态,有一个子进程终止,这个函数就会有对应的终止进程的返回值; 所有子进程全部终止结束,这个时候的...wait函数的返回值就是-1; 2.wait函数演示 创建3个子进程,分别是5,10,15s之后结束,查看这个父进程等待的情况以及wait函数的返回值的情况; 下面将会通过代码实现这个过程:我们创建一个已知的进程...,不需要我们人为设置; 第二个参数attr是一个结构体类型的指针,决定我们创建新的线程的属性,这个线程的属性,我们就放到这个结构体的属性,我们使用默认属性的话直接使用null这个默认的属性即可; 3.3...返回值说明 正常的返回值就是0,如果返回值是一个非0数值,就说明这个函数执行过程出现错误; 3.4进程线程关系演示 进程结束,操作系统就会回收所有的资源和空间,线程依赖于进程,这个时候线程就不可以继续运行了...; 下面的这个代码就是对于这个用法进行了说明,我们调用这个pthread_create函数创建一个新的线程,这个函数的参数就是我们上面介绍的,其中这个里面的第一个参数就是一个输出型的参数,只需要把我们自己定义的这个线程的地址传递过去就可以了
快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTLM哈希值。...在Windows登录期间,快捷方式将尝试在注册表项上执行值,该注册表项包含base64格式的stager。 ? 杂项 PoshC 在常见的红色团队工具包之外,还有多个脚本可用于开发恶意快捷方式。...快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTLM哈希值。...EmpireEmpire包含一个持久性模块,该模块可以后门合法的快捷方式(.LNK),以执行任意的PowerShell有效负载。现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。...可以通过执行以下命令来调用此技术:install-persistence 3PoshC2 –启动LNK文件在Windows登录期间,快捷方式将尝试在注册表项上执行值,该注册表项包含base64格式的stager
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
即时通信 IM
云直播
实时音视频
