- 综合排序
- 最热优先
- 最新优先
- 来自专栏cs
kali入侵windows
因为我是一个爱好和平的人(捂嘴笑),所以就在虚拟机中,创建二个系统,一个kali,一个windows xp,来进行这次入侵实验,以此迈入hacke的大门。 重要细节 1.0 因为在vmware模拟kaili入侵windows xp所以要保证这二台虚拟机可以通信,试验的vmware采用桥接网络,二台虚拟机相当于独立的主机,在vmware想要通信,必须处于同一网段 (就是网络号要一样),二台主机设置kaili设置为192.168.201.133,windows xp设置为192.168.201.135,它们是C类ip,前3位是网络号,都是192.168.201相同 2.0 为了试验效果明显,最好关闭掉windows的防火墙,这样入侵更容易,而且自己原本的主机把杀毒软件也关闭了。 入侵开始 1.0 查看linux的ip地址 root@kali:~# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
4.3K130发布于 2018-04-27 - 来自专栏Bypass
Windows手工入侵排查思路
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。 基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。 (3)查看服务器是否存在隐藏账号、克隆账号。 检查隐藏账号方法: CMD命令行使用”net user”,看不到”test$”这个账号,但在控制面板和本地用户和组是可以显示此用户的。 或者我们可以导出Windows日志—安全,利用Log Parser进行分析。 查看PowerShell历史记录: Get-Content (Get-PSReadlineOption).HistorySavePath 默认Powershell v5支持,Powershell v3和
2.5K30发布于 2021-04-26 - 来自专栏Bypass
Windows 入侵痕迹清理技巧
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 01、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志:%SystemRoot%\System32 github项目地址:https://github.com/hlldz/Invoke-Phant0m (4)Windows单条日志清除 该工具主要用于从Windows事件日志中删除指定的记录。 \ 清除WWW日志: 停止服务:net stop w3svc 删除日志目录下所有文件:del *.* 启用服务:net start w3svc 03、利用Windows自带命令进行安全擦除 (1)Shift (3)Format命令覆盖格式化 Format 命令加上 /P 参数后,就会把每个扇区先清零,再用随机数覆盖。而且可以覆盖多次。
4.1K12发布于 2020-09-16 - 来自专栏小小老鼠上灯台
windows入侵简单排查步骤
Windows入侵排查 一:检查系统账号 1、检查账号是否有弱口令 2、检查是否有新增、异常账号 确认方式: a、打开cmd 输入:lusrmgr.msc 查看如果有异常的账号进行删除 b、net user 查看 3、检查服务器是否存在隐藏、克隆账号 a、打开注册表查看管理员对应的键值 b、使用D盾web查杀工具--检测克隆账号功能。 ano | findstr LIS、tasklist | findstr $pid 2、查看进程的详细信息 运行---输入msinfo32--软件环境--正在运行的任务 可以查看到进程的详细信息 3、 \currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE 可以通过搜索指定修改时间进行搜索,异常的文件可以dump下来使用第三方工具进行检测 六:使用第三方杀毒工具例如:腾讯管家、火绒 以上就是windows简单排查方式。
1.3K50编辑于 2022-03-29 - 来自专栏网络安全615
渗透测试基础- - -windows入侵排查
渗透测试基础- - -windows入侵排查 目录 一,文件排查 二,进程排查 三,系统信息排查 四,登录日志排查 一,文件排查 (1)开机启动有无异常文件 打开任务管理器----选择“启动” (2) 各个盘下的temp(tmp)相关目录下查看有无异常文件 :windwos产生的临时文件 (3)浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息,根据不同浏览器进行排查,或者快捷键【ctrl+H】 (2)根据netstat定位出的pid,再通过tasklist命令进行进程定位 tasklist:显示运行在本地或远程计算机上的所有进程; 例如:tasklist |findstr 1228 (3) ,系统信息排查 (1)查看环境变量的设置 【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】 排查的内容: 1)temp变量的所在位置的内容; 2)后缀映射 PATHEXT 是否包含有非windows 的后缀; 3)有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查); (2)windows计划任务 【程序】➜【附件】➜【系统工具】➜【任务计划程序】 (3)windows帐号信息
1.6K11编辑于 2022-11-19 - 来自专栏数通
Windows系统入侵痕迹自查指南
当怀疑 Windows 系统可能被入侵时,需要从多个方向进行排查,以发现攻击者的活动痕迹。以下是主要的排查方向及关键检查点: 1. • 方法 3:检查本地管理员组 net localgroup administrators 查看是否有异常用户被加入管理员组。 立即断网:防止数据外泄或进一步入侵。 2. 备份关键日志:导出 Security.evtx、System.evtx 等日志。 3. 杀毒扫描:使用 Windows Defender 或专业杀软(如 Malwarebytes)。 4. 重置密码:更改所有管理员账户密码。 5. 系统还原或重装:如确认被入侵,建议彻底清理环境。 总结 Windows 入侵痕迹排查应覆盖 用户账户、登录日志、进程服务、文件系统、注册表、网络连接、日志完整性 等多个方向。通过系统化检查,可有效发现攻击者的活动痕迹并采取应对措施。
77610编辑于 2025-07-26 - 来自专栏Bypass
【应急响应】windows入侵排查思路
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 ,总结了一些Window服务器入侵排查的思路。 3、查看服务器是否存在隐藏账号、克隆账号。 检查方法: a、打开注册表 ,查看管理员对应键值。 b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。 ? 3、服务自启动 检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。
3.1K30发布于 2019-07-08 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
本文主要讨论windows被入侵后的排查思路。 强力推荐windows入侵排查利器:火绒剑 0x01 分析入侵过程 攻击者入侵windows系统往往从弱口令、系统漏洞以及服务漏洞进行切入,获得一个普通的系统权限,再经过提权后进行创建启动项、修改注册表 windows server 2016 下执行 schschtasks windows 7 下执行 at 检查方法3: 利用安全软件查看计划任务。 (一)查看系统版本以及补丁信息 检查方法: 1、在桌面打开运行(可使用快捷键 win+R)输入 systeminfo 2、查看系统信息和补丁状态 3、将内容导入文本,利用 windows-exploit-suggester 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.7K31发布于 2021-09-16 - 来自专栏FreeBuf
Windows主机入侵痕迹排查办法
为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵痕迹排查工作,本人总结了自己的一些经验,下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项,仅作为参考使用。 3、如果无法直接从网络连接情况判断是否为异常连接,可以根据网络连接找到对应的进程ID,判断进程是否异常。 分析方法: 1、各个盘符下的临时目录,如C:\TEMP、C:\Windows\Temp等。 ? 3、浏览器的下载目录 ? 4、用户最近文件%UserProfile%\Recent,如Administrator对应的目录为C:\Users\Administrator\Recent ? (注:aaaa中的键值0x3ea表示该账号与Users表中相应数值的表相对应,在删除账号时需一起删除) ? 注:异常账号删除后需要将之前授权的administrator移除SAM权限。
4K20发布于 2020-12-08 - 来自专栏FreeBuf
一次对个人服务器入侵事件的调查
这可能就是导致被入侵的原因。 入侵行为可能发生于2016-02-25、2016-02-29、2016-08-21三个时间点的操作。 探究入侵操作 2016-08-21的入侵操作中包含了文件jtemplate.php: 该PHP文件是经过加密的代码,经过UnPHP解密之后可以看到部分信息: 实际上,上述代码的功能如下: Base64 另外,我还发现了第四条关于WordPress的异常操作,虽然不能确定攻击者意图,但是看上去仍属于入侵操作。 3 其它信息 通过日志分析,发现进行jtemplate.php操作的IP为乌克兰IP185.93.187.66,但是,貌似这个IP没有提交过POST数据。
2K50发布于 2018-02-08 - 来自专栏FreeBuf
等保测评2.0:Windows入侵防范
一、说明 本篇文章主要说一说windows系统中入侵防范控制点的相关内容和理解。 ,并在发生严重入侵事件时提供报警。 如iis服务会启动w3wp进程,w3wp进程就会监听80端口或者你设置的某个端口。 七、测评项f f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 对于windows而言,这个百分之一百要通过第三方软硬件来实现了。 一些杀毒软件,比如EDR、卡巴斯基(企业版)等,等具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。
7.1K20发布于 2020-02-20 - 来自专栏Bypass
在Windows日志里发现入侵痕迹
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。 我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。 whoami systeminfo Windows日志分析: 在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。 3、管理账号登录 在创建管理账户后,尝试远程登录到目标主机,获取敏感信息。 mstsc /v 10.1.1.188 Windows日志分析: 在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如: 4624 登录成功 4625 登录失败 ?
2K50发布于 2020-12-16 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 攻击、DNS劫持、ARP欺骗 路由器/交换机异常:内网病毒,配置错误等 入侵排查思路 1、检查系统账号安全 查看服务器是否存在可疑账号、新增账号 1、打开 cmd 窗口,输入 lusrmgr.msc 方法: 1、 打开cmd,输入"eventvwr.msc",回车运行,打开“事件查看器” 2、 导出 Windows 日志 – 安全 3、 用微软官方工具 Log Parser 进行分析 下载地址:https 4727,4737,4739,4762 表示当用户组发生添加、删除时或组内添加成员时生成该事件 设置Setup 1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装
1.4K11编辑于 2024-08-01 - 来自专栏FreeBuf
记一次服务器被入侵的调查取证
小Z首先设想了三种可能性: 1.存在系统漏洞 2.由于前期运维在服务器上装了一些工具软件,会不会工具软件引入的病毒 3.应用层漏洞。 于是,他从这三方面开始了调查。 同时会有一些注册表及文件系统上的行为,确定wcmoye躲在C:\windows\syswow64目录下 ? 关注sysmon的EventCode 3 ,wcmoye的进程会与下载NewRat的那个公网ip的9999端口有通信日志, ? 至此,这次入侵的来龙去脉,小Z已经调查清楚了。 0×9 结尾 到此为止,所有的谜团一一解开,小Z结束了这次曲折的入侵取证之路。
3.2K10发布于 2018-07-30 - 来自专栏数通
Windows系统入侵排查思路(2025综合实践)
三、系统启动项与任务 1.启动项检查 输入 msconfig 或通过注册表路径 (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 2.文件系统检查 按时间排序敏感目录(如 %Temp%、C:\Windows\System32),查找近期新增/修改的可疑文件(如 .exe、.dll、.vbs)。 总结 入侵排查思路:一般都是通过“账户→端口/进程→启动项→日志→文件”的顺序排查,结合工具快速定位异常点。日常运维中需定期备份、启用日志审计策略,并建立最小权限原则降低风险
56510编辑于 2025-03-28 - 来自专栏HTML5学堂
windows系统 | 修改端口,预防比特币病毒入侵
HTML5学堂-码匠:windows系统,请做好比特币病毒(勒索病毒)的预防,保护好自己的电脑!!! 比特币病毒是什么 “比特币病毒”被大家称为“最邪恶的勒索病毒”。 英国病人已预约心脏手术被迫取消; 3. 中国高校众多师生的电脑文件被病毒加密,只有支付赎金才可恢复。 此次病毒爆发就是使用“永恒之蓝”攻击有漏洞的Windows设备。由于教育网没有封禁445端口,存在大量暴露漏洞的机器,成为勒索病毒重灾区。 依次点击注册表选项 HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > services > NetBT > Parameters; 3. 打开控制面板,选择“windows防火墙”; 2. 选择高级设置; 3. 选择入站规则,之后点击右侧的“新建规则”; 4. 选择“端口”,选择TCP/UDP,添加端口号,之后选择下一步; 5.
2.3K60发布于 2018-03-13 - 来自专栏青灯古酒
应急响应实战笔记——第1篇:windows 入侵排查
第1篇:windows 入侵排查 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程 ,总结了一些 Windows 服务器入侵排查的思路。 3、查看服务器是否存在隐藏账号、克隆账号。 检查方法: a、打开注册表 ,查看管理员对应键值。 b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。 3、服务自启动 检查方法:单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。 d、回收站、浏览器下载目录、浏览器历史记录 e、修改时间在创建时间之前的为可疑文件 3、发现并得到 WebShell、远控木马的创建时间,如何找出同一时间范围内创建的文件?
2K21编辑于 2023-10-16 - 来自专栏有价值炮灰
快速自检电脑是否被黑客入侵过(Windows版)
因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过. 1. 命令行: C:> net start C:> sc query 查找和每个进程关联的服务: C:> tasklist /svc 3. use 查看NetBIOS over TCP/IP 的激活状态: C:> nbtstat -S 查看当前网络连接和监听情况: C:> netstat -na 持续输出上述信息, 每3秒刷新一次 : C:> netstat -na 3 查看网络连接对应的进程id(-o)和进程名字(-b) C:> netstat -naob 注: netstat -b 除了显示进程名字, 还显示了进程所加载的 总而言之, 最好经常按照上述方式快速对系统做一遍检查, 以即使找出可能是电脑入侵引起的反常迹象, 以免导致个人信息和财产遭受损害.
2K40编辑于 2023-02-12 - 来自专栏顾宇的研习笔记
—— 记一次 CI 入侵的调查
从一次“构建变慢“的调查说起 在周二的时候,突然有人发现”马来西亚“的部署流程开始变慢,其中构建过程从上周的的7分钟左右变成了44分钟。而同样的代码改动,其它国家的服务器并没有如此大的差异。 {if($3>80.0) print "kill -9 " $2}'|sh pkill bonns 我们看到,这段代码杀死了占用CPU超过80%的进程。 ", "pass" : "x" } stratum+tcp协议 引发了我的好奇心,经过调查,这居然是一个叫做门罗币的加密虚拟币的矿池协议: 门罗币XMR一种使用CryptoNote协议的一个虚拟币币种 以上,我们仅仅通过一系列调查证明了 donns 进程具有挖门罗币的功能。然而,我们很难知道它是否做了别的事情。 3. 记录下整个发现的过程,最好能够通过终端软件实时截图。或者采用 script 命令录制过程。 4. 及时保留相关连的第三方系统的访问日志。 5.
95220发布于 2018-08-17 - 来自专栏FreeBuf
如何入侵大疆Phantom 3无人机
最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。 Phantom 3配备飞行器(无人机)、控制器以及Android / iOS应用程序。 分析发现,Wi-Fi加密方式为WPA2,默认SSID(服务集标识)是从远程控制器的MAC地址中派生的:PHANTOM3_「MAC地址的最后6位」。默认的关联密码是:12341234。 GPS攻击 & 更多威胁 入侵大疆Phantom 3下一步会发生什么? 目前要入侵信息安全门户大开的无人机虽然容易,但多半还是得一台台手动入侵,但信息安全专家警告,很快就会有人写出可自动入侵感染的病毒,预期 2017 年就会有相关黑客工具流传,届时,很快无人机被骇造成的灾情就会上报纸头条
2.1K90发布于 2018-02-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号