- 综合排序
- 最热优先
- 最新优先
- 来自专栏cs
kali入侵windows
因为我是一个爱好和平的人(捂嘴笑),所以就在虚拟机中,创建二个系统,一个kali,一个windows xp,来进行这次入侵实验,以此迈入hacke的大门。 重要细节 1.0 因为在vmware模拟kaili入侵windows xp所以要保证这二台虚拟机可以通信,试验的vmware采用桥接网络,二台虚拟机相当于独立的主机,在vmware想要通信,必须处于同一网段 2.0 为了试验效果明显,最好关闭掉windows的防火墙,这样入侵更容易,而且自己原本的主机把杀毒软件也关闭了。 2.0 ping命令,测试linux和windows是否可以通信 root@kali:~# ping -c 2 192.168.201.135 PING 192.168.201.135 (192.168.201.135 ttl=128 time=0.395 ms --- 192.168.201.135 ping statistics --- 2 packets transmitted, 2 received, 0%
4.4K130发布于 2018-04-27 - 来自专栏Bypass
Windows手工入侵排查思路
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。 基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。 (2)查看服务器是否存在可疑账号、新增账号。 (2)检查可疑的网络连接 检查方法 检查是否存在可疑的网络连接,如发现异常,可使用Wireshark网络抓包辅助分析。 (2)历史命令记录 高版本Powershell会记录PowerShell的命令,所有的PowerShell命令将会保存在固定位置: %appdata%\Microsoft\Windows\PowerShell
2.6K30发布于 2021-04-26 - 来自专栏Bypass
Windows 入侵痕迹清理技巧
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 01、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志:%SystemRoot%\System32 (2)命令行一键清除Windows事件日志 PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}" Get-WinEvent (2)Cipher 命令多次覆写 在删除文件后,可以利用Cipher 命令通过 /W 参数可反复写入其他数据覆盖已删除文件的硬盘空间,彻底删除数据防止被恢复。 PowerShell Disabled 15728640K 138 (2)清除事件日志(包括六种日志类型) meterpreter > run event_manager -c
4.1K12发布于 2020-09-16 - 来自专栏小小老鼠上灯台
windows入侵简单排查步骤
Windows入侵排查 一:检查系统账号 1、检查账号是否有弱口令 2、检查是否有新增、异常账号 确认方式: a、打开cmd 输入:lusrmgr.msc 查看如果有异常的账号进行删除 b、net 二:检查异常进程 1、检查端口异常链接情况 netstat -ano | findstr LIS、tasklist | findstr $pid 2、查看进程的详细信息 运行---输入msinfo32 \currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Runonce c、定时任务 运行---输入:taskschd.msc 四:登录日志 运行--输入eventvwr.msc 可以通过搜索指定修改时间进行搜索,异常的文件可以dump下来使用第三方工具进行检测 六:使用第三方杀毒工具例如:腾讯管家、火绒 以上就是windows简单排查方式。
1.3K50编辑于 2022-03-29 - 来自专栏数通
Windows系统入侵痕迹自查指南
当怀疑 Windows 系统可能被入侵时,需要从多个方向进行排查,以发现攻击者的活动痕迹。以下是主要的排查方向及关键检查点: 1. (2)检查注册表自启动项 • 常见自启动位置: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" reg query "HKCU 立即断网:防止数据外泄或进一步入侵。 2. 备份关键日志:导出 Security.evtx、System.evtx 等日志。 3. 杀毒扫描:使用 Windows Defender 或专业杀软(如 Malwarebytes)。 4. 重置密码:更改所有管理员账户密码。 5. 系统还原或重装:如确认被入侵,建议彻底清理环境。 总结 Windows 入侵痕迹排查应覆盖 用户账户、登录日志、进程服务、文件系统、注册表、网络连接、日志完整性 等多个方向。通过系统化检查,可有效发现攻击者的活动痕迹并采取应对措施。
83810编辑于 2025-07-26 - 来自专栏网络安全615
渗透测试基础- - -windows入侵排查
渗透测试基础- - -windows入侵排查 目录 一,文件排查 二,进程排查 三,系统信息排查 四,登录日志排查 一,文件排查 (1)开机启动有无异常文件 打开任务管理器----选择“启动” (2) netstat 显示网络连接、路由表和网络接口信息; 常见的状态: LISTENING 侦听状态 ESTABLISHED 建立连接 CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断 (2) 后缀映射 PATHEXT 是否包含有非windows的后缀; 3)有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查); (2)windows计划任务 【程序】➜【附件】➜【系统工具 】➜【任务计划程序】 (3)windows帐号信息 如隐藏帐号等 【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】 (用户名以结尾的为隐藏用户,如:admin) 命令行方式 -Exploit; 四,登录日志排查 1.打开事件管理器 【开始】→【管理工具】→【事件查看】 2.主要分析安全日志,可以借助自带的筛选功能 可以把日志导出为文本格式,然后使用notepad++
1.6K11编辑于 2022-11-19 - 来自专栏Bypass
【应急响应】windows入侵排查思路
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 ,总结了一些Window服务器入侵排查的思路。 0x01 入侵排查思路 一、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。 检查方法:据实际情况咨询相关服务器管理员。 2、查看服务器是否存在可疑账号、新增账号。 b、导出Windows日志--安全,利用Log Parser进行分析。 ? 二、检查异常端口、进程 1、检查端口连接情况,是否有远程连接、可疑连接。
3.2K30发布于 2019-07-08 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
本文主要讨论windows被入侵后的排查思路。 强力推荐windows入侵排查利器:火绒剑 0x01 分析入侵过程 攻击者入侵windows系统往往从弱口令、系统漏洞以及服务漏洞进行切入,获得一个普通的系统权限,再经过提权后进行创建启动项、修改注册表 检查方法2: 1、在桌面打开运行(可使用快捷键 win+R),输入 cmd 打开命令行窗口 2、检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接,其中计划任务在windows7 检查方法2: 如果操作系统版本够高的话直接在资源管理器中设置 检查方法3: 借助fileseek查看文件 五、日志分析 主要查看系统日志和web日志,通过日志可以帮助我们验证对入侵过程的判断和发现其他入侵行为 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.7K31发布于 2021-09-16 - 来自专栏FreeBuf
Windows主机入侵痕迹排查办法
为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵痕迹排查工作,本人总结了自己的一些经验,下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项,仅作为参考使用。 分析方法: 1、各个盘符下的临时目录,如C:\TEMP、C:\Windows\Temp等。 ? 2、查看注册表中映像的键值 检查注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution 2、查看组策略: 在无法使用工具、只能手工排查的情况下,可查看常见的自启项是否有异常文件。 打开gpedit.msc—计算机配置/用户配置—Windows设置—脚本,在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。 ?
4.1K20发布于 2020-12-08 - 来自专栏FreeBuf
一次对个人服务器入侵事件的调查
这可能就是导致被入侵的原因。 入侵行为可能发生于2016-02-25、2016-02-29、2016-08-21三个时间点的操作。 探究入侵操作 2016-08-21的入侵操作中包含了文件jtemplate.php: 该PHP文件是经过加密的代码,经过UnPHP解密之后可以看到部分信息: 实际上,上述代码的功能如下: Base64 2 解决方法 啊,在那分钟,我真想砸了这台机器!升级Joomla,升级WordPress, 格式化,重装….,天哪,饶了我吧,我哪有这么多时间。所以我决定采取一些保守的安全解决对策。 停止向外发送垃圾邮件 ps aux命令显示了很多垃圾邮件发送进程,使用以下命令来终止: ps aux|grep -v grep|grep sendmail|awk {print $2} | xargs
2.1K50发布于 2018-02-08 - 来自专栏FreeBuf
等保测评2.0:Windows入侵防范
一、说明 本篇文章主要说一说windows系统中入侵防范控制点的相关内容和理解。 ,并在发生严重入侵事件时提供报警。 server 2008 r2只修改这一处就可以了: ? 七、测评项f f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 对于windows而言,这个百分之一百要通过第三方软硬件来实现了。 一些杀毒软件,比如EDR、卡巴斯基(企业版)等,等具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。
7.1K20发布于 2020-02-20 - 来自专栏Bypass
在Windows日志里发现入侵痕迹
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。 我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。 whoami systeminfo Windows日志分析: 在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。 2、权限提升 通过执行exp来提升权限,获取操作系统system权限,增加管理用户。 mstsc /v 10.1.1.188 Windows日志分析: 在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如: 4624 登录成功 4625 登录失败 ?
2K50发布于 2020-12-16 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 攻击、DNS劫持、ARP欺骗 路由器/交换机异常:内网病毒,配置错误等 入侵排查思路 1、检查系统账号安全 查看服务器是否存在可疑账号、新增账号 1、打开 cmd 窗口,输入 lusrmgr.msc 方法: 1、 打开cmd,输入"eventvwr.msc",回车运行,打开“事件查看器” 2、 导出 Windows 日志 – 安全 3、 用微软官方工具 Log Parser 进行分析 下载地址:https 4727,4737,4739,4762 表示当用户组发生添加、删除时或组内添加成员时生成该事件 设置Setup 1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装
1.5K11编辑于 2024-08-01 - 来自专栏FreeBuf
记一次服务器被入侵的调查取证
小Z首先设想了三种可能性: 1.存在系统漏洞 2.由于前期运维在服务器上装了一些工具软件,会不会工具软件引入的病毒 3.应用层漏洞。 于是,他从这三方面开始了调查。 0×6 网络架构 目前调查到的种种迹象让小Z坚信黑客是通过struts2-45漏洞进来的! 而且通过搜索tomcat目录找到 struts的版本为2.5.10,的确是存在S2-045漏洞的版本。 至此,这次入侵的来龙去脉,小Z已经调查清楚了。 由于网站使用了struts框架 版本为2.5.10,存在struts2-045漏洞,黑客通过公网扫描找到网站,进而执行exploit把病毒程序传到服务器里面执行,不停的病毒警告是因为不断有人在公网利用漏洞入侵服务器 0×9 结尾 到此为止,所有的谜团一一解开,小Z结束了这次曲折的入侵取证之路。
3.2K10发布于 2018-07-30 - 来自专栏数通
Windows系统入侵排查思路(2025综合实践)
2.隐藏/克隆账户检测 使用注册表路径 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 检查隐藏账户。 借助工具(如D盾)检测克隆账户。 2.网络流量分析 使用 Wireshark 抓包分析可疑外连流量,重点关注与矿池、C&C服务器通信的IP。 三、系统启动项与任务 1.启动项检查 输入 msconfig 或通过注册表路径 (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 2.文件系统检查 按时间排序敏感目录(如 %Temp%、C:\Windows\System32),查找近期新增/修改的可疑文件(如 .exe、.dll、.vbs)。 总结 入侵排查思路:一般都是通过“账户→端口/进程→启动项→日志→文件”的顺序排查,结合工具快速定位异常点。日常运维中需定期备份、启用日志审计策略,并建立最小权限原则降低风险
58310编辑于 2025-03-28 - 来自专栏HTML5学堂
windows系统 | 修改端口,预防比特币病毒入侵
西班牙电信全体员工电脑瘫痪; 2. 英国病人已预约心脏手术被迫取消; 3. 中国高校众多师生的电脑文件被病毒加密,只有支付赎金才可恢复。 此次病毒爆发就是使用“永恒之蓝”攻击有漏洞的Windows设备。由于教育网没有封禁445端口,存在大量暴露漏洞的机器,成为勒索病毒重灾区。 打开注册表(”开始“ > ”运行“ > 输入"regedit"进入”注册表编辑器“); 2. 打开控制面板,选择“windows防火墙”; 2. 选择高级设置; 3. 选择入站规则,之后点击右侧的“新建规则”; 4. 选择“端口”,选择TCP/UDP,添加端口号,之后选择下一步; 5. TCP和UDP都需要拦截,在视频中只展示了一种设置; 2. 拦截445端口,并不代表关闭445端口。
2.3K60发布于 2018-03-13 - 来自专栏青灯古酒
应急响应实战笔记——第1篇:windows 入侵排查
第1篇:windows 入侵排查 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程 常见的应急响应事件分类: Web 入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 ,总结了一些 Windows 服务器入侵排查的思路。 入侵排查思路 1.1 检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。 检查方法:据实际情况咨询相关服务器管理员。 2、查看服务器是否存在可疑账号、新增账号。 2、查找可疑目录及文件 检查方法: a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
2.1K21编辑于 2023-10-16 - 来自专栏有价值炮灰
快速自检电脑是否被黑客入侵过(Windows版)
因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过. 1. eventquery.vbs | more 或者只看某个条目下的日志: C:> eventquery.vbs /L security eventquery.vbs是使用可以查看命令行帮助或者微软的官方文档. 2. 图形界面: 开始->运行 services.msc 2). \Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce 总而言之, 最好经常按照上述方式快速对系统做一遍检查, 以即使找出可能是电脑入侵引起的反常迹象, 以免导致个人信息和财产遭受损害.
2K40编辑于 2023-02-12 - 来自专栏顾宇的研习笔记
—— 记一次 CI 入侵的调查
背景 我们的持续集成服务器搭建在AWS上的一个EC2的虚拟机中。采用Jenkins 2.46.1并且只有一个Master实例来运行所有的任务。 从一次“构建变慢“的调查说起 在周二的时候,突然有人发现”马来西亚“的部署流程开始变慢,其中构建过程从上周的的7分钟左右变成了44分钟。而同样的代码改动,其它国家的服务器并没有如此大的差异。 43ZQzwdYHC9ebXxZhJuwkH5jvmfEBCEjkd1PvqxacrJaEDQFyNuxJhcib8MsJRgFnbATB6rpBEzq8EKqRqUbjyNy3opCS4k", "pass" : "x" } stratum+tcp协议 引发了我的好奇心,经过调查 以上,我们仅仅通过一系列调查证明了 donns 进程具有挖门罗币的功能。然而,我们很难知道它是否做了别的事情。 2. 权限受限:在受限的权限和隔离区下使用软件。 3. 执行可控:运行环境或者网络隔,使之运行在沙箱里,降低影响范围。 4.
96320发布于 2018-08-17 - 来自专栏白安全组
护网问题之——Windows入侵之后权限不够怎么办
小傻子,今天教你提权 一、Windows用户与组 1、Windows用户的分类 guest:游客账户权限 user:普通用户权限 administrator:管理员用户权限 ststem:机器最高权限 NTLM:简单来说,Windows会将密码放置内存中,NTLM hash加密之后,进行比对。 Windows 服务使⽤的登录账号: NT AUTHORITY\System NT AUTHORITY\Network Service NT AUTHORITY\Local Service 2、提权方式 DCOM主要是Windows的一个封装的组件,可以交互通讯,利用这个接口,可以对网络发送请求。 $x = ($error[0] | Out-String) $error.clear() $sendback2 = $sendback2 + $x
71110编辑于 2024-06-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号