- 综合排序
- 最热优先
- 最新优先
- 来自专栏cs
kali入侵windows
因为我是一个爱好和平的人(捂嘴笑),所以就在虚拟机中,创建二个系统,一个kali,一个windows xp,来进行这次入侵实验,以此迈入hacke的大门。 主机模式.jpg 2.2 IP(这里是ipv4)地址分类,网络类型。 ip地址,由《net-id,host-id》二部分组成。 重要细节 1.0 因为在vmware模拟kaili入侵windows xp所以要保证这二台虚拟机可以通信,试验的vmware采用桥接网络,二台虚拟机相当于独立的主机,在vmware想要通信,必须处于同一网段 2.0 为了试验效果明显,最好关闭掉windows的防火墙,这样入侵更容易,而且自己原本的主机把杀毒软件也关闭了。 入侵开始 1.0 查看linux的ip地址 root@kali:~# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
4.3K130发布于 2018-04-27 - 来自专栏Bypass
Windows手工入侵排查思路
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。 基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。 (4)结合Windows安全日志,查看管理员登录时间、用户名是否存在异常。 检查方法: Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。 或者我们可以导出Windows日志—安全,利用Log Parser进行分析。 历史记录: Get-Content (Get-PSReadlineOption).HistorySavePath 默认Powershell v5支持,Powershell v3和Powershell v4,
2.5K30发布于 2021-04-26 - 来自专栏Bypass
Windows 入侵痕迹清理技巧
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 01、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志:%SystemRoot%\System32 Winevt\Logs\Application.evtx 日志在注册表的键:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog windows github项目地址:https://github.com/hlldz/Invoke-Phant0m (4)Windows单条日志清除 该工具主要用于从Windows事件日志中删除指定的记录。 > run event_manager -c (3)另外,也可以输入clearv命令清除目标系统的事件日志(仅包含三种日志类型) meterpreter > clearev [*] Wiping 4
4.1K12发布于 2020-09-16 - 来自专栏小小老鼠上灯台
windows入侵简单排查步骤
Windows入侵排查 一:检查系统账号 1、检查账号是否有弱口令 2、检查是否有新增、异常账号 确认方式: a、打开cmd 输入:lusrmgr.msc 查看如果有异常的账号进行删除 b、net 检查启动项、定时任务 a、运行--输入msconfig可以查看启动项、服务 运行--输入regedit 查看注册表是否有异常的启动 HKEY_CURRENT_USER\software\micorsoft\windows \currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Runonce c、定时任务 运行---输入:taskschd.msc 四:登录日志 运行--输入eventvwr.msc 可以通过搜索指定修改时间进行搜索,异常的文件可以dump下来使用第三方工具进行检测 六:使用第三方杀毒工具例如:腾讯管家、火绒 以上就是windows简单排查方式。
1.3K50编辑于 2022-03-29 - 来自专栏网络安全615
渗透测试基础- - -windows入侵排查
渗透测试基础- - -windows入侵排查 目录 一,文件排查 二,进程排查 三,系统信息排查 四,登录日志排查 一,文件排查 (1)开机启动有无异常文件 打开任务管理器----选择“启动” (2) 各个盘下的temp(tmp)相关目录下查看有无异常文件 :windwos产生的临时文件 (3)浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息,根据不同浏览器进行排查,或者快捷键【ctrl+H】 (4) ,系统信息排查 (1)查看环境变量的设置 【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】 排查的内容: 1)temp变量的所在位置的内容; 2)后缀映射 PATHEXT 是否包含有非windows 的后缀; 3)有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查); (2)windows计划任务 【程序】➜【附件】➜【系统工具】➜【任务计划程序】 (3)windows帐号信息 (用户名以结尾的为隐藏用户,如:admin) 命令行方式:net user,可直接收集用户信息(此方法看不到隐藏用户),若需查看某个用户的详细信息,可使用命令➜net user username; (4)
1.6K11编辑于 2022-11-19 - 来自专栏数通
Windows系统入侵痕迹自查指南
当怀疑 Windows 系统可能被入侵时,需要从多个方向进行排查,以发现攻击者的活动痕迹。以下是主要的排查方向及关键检查点: 1. 4. 立即断网:防止数据外泄或进一步入侵。 2. 备份关键日志:导出 Security.evtx、System.evtx 等日志。 3. 杀毒扫描:使用 Windows Defender 或专业杀软(如 Malwarebytes)。 4. 重置密码:更改所有管理员账户密码。 5. 系统还原或重装:如确认被入侵,建议彻底清理环境。 总结 Windows 入侵痕迹排查应覆盖 用户账户、登录日志、进程服务、文件系统、注册表、网络连接、日志完整性 等多个方向。通过系统化检查,可有效发现攻击者的活动痕迹并采取应对措施。
77610编辑于 2025-07-26 - 来自专栏Bypass
【应急响应】windows入侵排查思路
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 ,总结了一些Window服务器入侵排查的思路。 4、结合日志,查看管理员登录时间、用户名是否存在异常。 检查方法: a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。 b、导出Windows日志--安全,利用Log Parser进行分析。 ? 二、检查异常端口、进程 1、检查端口连接情况,是否有远程连接、可疑连接。
3.1K30发布于 2019-07-08 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
本文主要讨论windows被入侵后的排查思路。 强力推荐windows入侵排查利器:火绒剑 0x01 分析入侵过程 攻击者入侵windows系统往往从弱口令、系统漏洞以及服务漏洞进行切入,获得一个普通的系统权限,再经过提权后进行创建启动项、修改注册表 检查方法4: 利用安全软件查看启动项、开机时间管理等。 重点关注windows\system32的sethc.exe是否被替换为cmd程序 检查方法4: 针对回收站、浏览器下载目录以及历史记录进行排查 (三)查看隐藏文件 检查方法1: 1、在桌面打开运行 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.7K31发布于 2021-09-16 - 来自专栏FreeBuf
Windows主机入侵痕迹排查办法
为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵痕迹排查工作,本人总结了自己的一些经验,下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项,仅作为参考使用。 1.2确定排查资产 主机入侵痕迹排查工作建议在一周内对数量控制在20台以内的主机进行排查。 1.3入侵痕迹排查 在实际情况下,攻击者在进行攻击时使用的攻击手法、攻击思路、行为等各有差异,无论是考虑实现成本还是效率问题,都难以通过很精细很全面的排查项去实施主机入侵痕迹排查,但是我们可以从攻击中可能会产生的一些比较共性的行为特征 分析方法: 1、各个盘符下的临时目录,如C:\TEMP、C:\Windows\Temp等。 ? 4、用户最近文件%UserProfile%\Recent,如Administrator对应的目录为C:\Users\Administrator\Recent ?
4K20发布于 2020-12-08 - 来自专栏FreeBuf
一次对个人服务器入侵事件的调查
这可能就是导致被入侵的原因。 入侵行为可能发生于2016-02-25、2016-02-29、2016-08-21三个时间点的操作。 探究入侵操作 2016-08-21的入侵操作中包含了文件jtemplate.php: 该PHP文件是经过加密的代码,经过UnPHP解密之后可以看到部分信息: 实际上,上述代码的功能如下: Base64 其中某个文件不仅用来执行远程代码,还向远程地址4lmbkpqrklqv.net发送信息,经查询,域名4lmbkpqrklqv.net归属一位乌克兰人Nikolay Pohomov所有。 最后,别忘记重启命令service nginx reload 4 总结 由于我不是专业的安全人士,对于这些经常不更新的老旧系统,我能想到唯一防止黑客攻击的方法可能就是使用Docker了。
2K50发布于 2018-02-08 - 来自专栏Bypass
在Windows日志里发现入侵痕迹
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。 我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。 whoami systeminfo Windows日志分析: 在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。 mstsc /v 10.1.1.188 Windows日志分析: 在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如: 4624 登录成功 4625 登录失败 ? 4、权限维持 通过创建计划任务执行脚本后门,以便下次直接进入,使用以下命令可以一键实现: schtasks /create /sc minute /mo 1 /tn "Security Script"
2K50发布于 2020-12-16 - 来自专栏FreeBuf
等保测评2.0:Windows入侵防范
一、说明 本篇文章主要说一说windows系统中入侵防范控制点的相关内容和理解。 ; d)应提供数据有效性检验功能,保证通过人机接口输人或通过通信接口输入的内容符合系统设定要求; e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; f)应能够检测到对重要节点进行入侵的行为 ,并在发生严重入侵事件时提供报警。 七、测评项f f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 对于windows而言,这个百分之一百要通过第三方软硬件来实现了。 一些杀毒软件,比如EDR、卡巴斯基(企业版)等,等具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。
7.1K20发布于 2020-02-20 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 攻击、DNS劫持、ARP欺骗 路由器/交换机异常:内网病毒,配置错误等 入侵排查思路 1、检查系统账号安全 查看服务器是否存在可疑账号、新增账号 1、打开 cmd 窗口,输入 lusrmgr.msc 服务自启动 输入 services.msc,注意服务状态和启动类型,检查是否有异常服务 4、事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。 4727,4737,4739,4762 表示当用户组发生添加、删除时或组内添加成员时生成该事件 设置Setup 1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装
1.4K11编辑于 2024-08-01 - 来自专栏FreeBuf
记一次服务器被入侵的调查取证
于是,他从这三方面开始了调查。 同时会有一些注册表及文件系统上的行为,确定wcmoye躲在C:\windows\syswow64目录下 ? 0×4 日志排查 这个问题得从wcmoye.exe在系统中产生的第一时间着手调查。 至此,这次入侵的来龙去脉,小Z已经调查清楚了。 0×9 结尾 到此为止,所有的谜团一一解开,小Z结束了这次曲折的入侵取证之路。
3.2K10发布于 2018-07-30 - 来自专栏数通
Windows系统入侵排查思路(2025综合实践)
三、系统启动项与任务 1.启动项检查 输入 msconfig 或通过注册表路径 (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 2.文件系统检查 按时间排序敏感目录(如 %Temp%、C:\Windows\System32),查找近期新增/修改的可疑文件(如 .exe、.dll、.vbs)。 总结 入侵排查思路:一般都是通过“账户→端口/进程→启动项→日志→文件”的顺序排查,结合工具快速定位异常点。日常运维中需定期备份、启用日志审计策略,并建立最小权限原则降低风险
56510编辑于 2025-03-28 - 来自专栏HTML5学堂
windows系统 | 修改端口,预防比特币病毒入侵
HTML5学堂-码匠:windows系统,请做好比特币病毒(勒索病毒)的预防,保护好自己的电脑!!! 比特币病毒是什么 “比特币病毒”被大家称为“最邪恶的勒索病毒”。 “永恒之蓝” - 445端口问题 今年4月,NSA(美国国家安全局)的黑客武器库被泄漏公开,其中包括一个专门远程攻击Windows文件共享端口(445端口)的“永恒之蓝”黑客武器。 此次病毒爆发就是使用“永恒之蓝”攻击有漏洞的Windows设备。由于教育网没有封禁445端口,存在大量暴露漏洞的机器,成为勒索病毒重灾区。 4. “开始” > “运行” > 输入services.msc,进入服务管理控制台; 5. 找到server服务,双击进入管理控制页面。 打开控制面板,选择“windows防火墙”; 2. 选择高级设置; 3. 选择入站规则,之后点击右侧的“新建规则”; 4. 选择“端口”,选择TCP/UDP,添加端口号,之后选择下一步; 5.
2.3K60发布于 2018-03-13 - 来自专栏青灯古酒
应急响应实战笔记——第1篇:windows 入侵排查
第1篇:windows 入侵排查 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程 常见的应急响应事件分类: Web 入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 ,总结了一些 Windows 服务器入侵排查的思路。 4、结合日志,查看管理员登录时间、用户名是否存在异常。 检查方法: a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件查看器”。 1.6 日志分析 系统日志 分析方法: a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
2K21编辑于 2023-10-16 - 来自专栏有价值炮灰
快速自检电脑是否被黑客入侵过(Windows版)
因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过. 1. \Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU \Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce \CurrentVersion\Run 当然除此之外还有很多注册点可以进行自启动, 这个在下面说. 4. 总而言之, 最好经常按照上述方式快速对系统做一遍检查, 以即使找出可能是电脑入侵引起的反常迹象, 以免导致个人信息和财产遭受损害.
2K40编辑于 2023-02-12 - 来自专栏顾宇的研习笔记
—— 记一次 CI 入侵的调查
从一次“构建变慢“的调查说起 在周二的时候,突然有人发现”马来西亚“的部署流程开始变慢,其中构建过程从上周的的7分钟左右变成了44分钟。而同样的代码改动,其它国家的服务器并没有如此大的差异。 ", "pass" : "x" } stratum+tcp协议 引发了我的好奇心,经过调查,这居然是一个叫做门罗币的加密虚拟币的矿池协议: 门罗币XMR一种使用CryptoNote协议的一个虚拟币币种 以上,我们仅仅通过一系列调查证明了 donns 进程具有挖门罗币的功能。然而,我们很难知道它是否做了别的事情。 而在今年的4月26日,又修复了一大批通过跨站请求伪造(Cross-Site Request Forgery)远程执行代码的漏洞。 4. 及时保留相关连的第三方系统的访问日志。 5. 找出这台服务器上所有的 口令,秘钥等,并立即更换。 6. 终端其它 CI 服务器的运作,并立即进行安全排查。 7.
95220发布于 2018-08-17 - 来自专栏白安全组
护网问题之——Windows入侵之后权限不够怎么办
小傻子,今天教你提权 一、Windows用户与组 1、Windows用户的分类 guest:游客账户权限 user:普通用户权限 administrator:管理员用户权限 ststem:机器最高权限 NTLM:简单来说,Windows会将密码放置内存中,NTLM hash加密之后,进行比对。 Windows 服务使⽤的登录账号: NT AUTHORITY\System NT AUTHORITY\Network Service NT AUTHORITY\Local Service 2、提权方式 DCOM主要是Windows的一个封装的组件,可以交互通讯,利用这个接口,可以对网络发送请求。 文件,这里就是测试之后的日志,我们打开之后找后面事system权限的 然后复制前面的clsid进行测试,直到可用为止 提权 我们可以直接执行命令 JuicyPotato.exe -t * -p C:\windows
68310编辑于 2024-06-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号