- 综合排序
- 最热优先
- 最新优先
- 来自专栏Cyber Security
【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\shell.exe" 33::18 权限维持-域环境&单机版-屏保&登录 1、WinLogon 配合无文件落地上线(切换用户登录就会上线) REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit
51410编辑于 2024-07-18 - 来自专栏Windows技术交流
开机自动调整vnc分辨率
计划任务调整vnc分辨率的powershell示例代码: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName LastUsedUsername" reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword" /d "你自己的密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v "AutoAdminLogon" /d "1" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName /t REG_SZ /d 0 /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
89110编辑于 2025-06-19 - 来自专栏Windows技术交流
跟3dsmax2025环境有关的explorer异常的低概率问题,可通过配置开机计划任务catch异常后重启机器来规避
SetPassword("$NewPassword") reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName LastUsedUsername" reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v "AutoAdminLogon" /d "1" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName /t REG_SZ /d 0 /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
37610编辑于 2024-08-20 - 来自专栏Windows技术交流
配置开机自动登录自动收集ping信息,看看那些开机后需要等待几十秒甚至一两分钟然后网才能通的详细情况如何
开机后需要等待几十秒甚至一两分钟然后网才能通的详细情况如何配置自动登录(密码写自己的)reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName LastUsedUsername"reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName" /d "Administrator" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon " /v "AutoAdminLogon" /d "1" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName /t REG_SZ /d 0 /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
29610编辑于 2024-08-01 - 来自专栏Khan安全团队
通过组合 COM UAC 绕过和令牌模拟进行权限提升
该实用程序自动定位winlogon.exe、窃取和模拟它的进程令牌,并使用被盗令牌生成一个新的系统级进程。 执行以下步骤以从低权限管理员升级到 SYSTEM: 提升 通过使用 CreateToolhelp32Snapshot、Process32First 和 Process32Next 枚举系统运行进程来定位 winlogon.exe 进程 通过调用 AdjustTokenPrivileges 为当前进程启用 SeDebugPrivilege,因为它需要打开 winlogon.exe 的 HANDLE winlogon.exe 进程的句柄是通过调用 OpenProcess 打开的,因为这个调用使用了 PROCESS_ALL_ACCESS(但是,它是多余的) 通过调用 OpenProcessToken 并结合先前获得的进程句柄来检索 winlogon 的进程令牌的句柄 通过调用 ImpersonateLoggedOnUser 来模拟 winlogon 的用户(SYSTEM) 通过使用 SecurityImpersonation 调用 DuplicateTokenEx
93610编辑于 2022-04-02 - 来自专栏深蓝居
炎热八月,小心"落雪"
,而且用户是当前用户的,有那就中招了.下面给出他的资料和专杀工具. winlogon.exe病毒的查杀方法这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程 正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。 正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。 WINLOGON.EXE!做了这么多工作目的就是要干掉她!!! C:\Windows\WINLOGON.EXE 这个在进程里可以看得到,有两个,一个是真的,一个是假的。 真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM, 而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
52210编辑于 2022-06-15 - 来自专栏Windows技术交流
GPU云服务器设置独显分辨率
DontDisplayLastUserName LastUsedUsername"reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword" /d "你自己的密码" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon " /v "AutoAdminLogon" /d "1" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName /t REG_SZ /d 0 /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Administrator" /t REG_SZ /f#reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
30710编辑于 2025-07-31 - 来自专栏Windows技术交流
Win+L锁屏失效的解决办法
/v AllowLockScreen /d 1 /t REG_DWORD /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon LogonUI\SessionData" /v AllowLockScreen reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v AllowLockScreen /d 1 /t REG_DWORD /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon LogonUI\SessionData" /v AllowLockScreen reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v AllowLockScreen /d 0 /t REG_DWORD /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
1.4K10编辑于 2024-05-21 - 来自专栏Windows技术交流
创建任何用户都无法产生家目录(c:\users\username\)
而如果没有在ProfileList找到对应的SID键值,Winlogon会再次尝试确定用户配置文件是否存在。 Winlogon makes one more attempt to determine if the user profile exist when it cannot locate neither Winlogon does this by checking for the logging on user’s unique Identifier. Winlogon queries the domain for the currently logging on users unique identifier and then looks for a If the user’s unique ID registry key exists, then Winlogon looks up string registry value SidString ,
1.1K00编辑于 2024-02-05 - 来自专栏Windows技术交流
做Windows自定义镜像前配置开机后首次自动重启
>>c:\test.txt reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" / DontDisplayLastUserName LastUsedUsername" reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword" /d "具体化机器密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v "AutoAdminLogon" /d "1" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DontDisplayLastUserName /t REG_SZ /d 0 /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
33710编辑于 2025-05-20 - 来自专栏FreeBuf
如何使用Auto-Elevate实现UAC绕过和权限提升
该工具能够实现UAC以及其他一些Windows内置功能的绕过,该工具能够自动定位winlogon.exe,并能够窃取和模拟该程序的进程令牌,然后使用窃取来的令牌生成一个新的系统级进程。 SYSTEM的步骤流程: 工具运行流程 1、工具通过使用CreateToolhelp32Snapshot、Process32First和Process32Next来枚举目标系统中正在运行的进程以查找定位winlogon.exe ; 2、通过调用AdjustTokenPrivileges来为当前进程启动SeDebugPrivilege,因为我们需要为winlogon.exe开启一个句柄; 3、通过调用OpenProcess来打开一个 winlogon.exe进程句柄,此时将会调用到PROCESS_ALL_ACCESS; 4、工具将通过调用OpenProcessToken并结合之前获得的进程句柄来检索winlogon的进程令牌句柄; 5、通过调用ImpersonateLoggedOnUser来伪造winlogon用户; 6、通过使用SecurityImpersonation来调用DuplicateTokenEx并复制伪造的令牌句柄,
67710编辑于 2022-06-08 Windows 系统启动过程
内核创建会话管理器进程(Winlogon.exe)。会话管理器启动阶段会话管理器(Winlogon.exe)负责用户登录。Winlogon显示登录界面,用户输入凭据。 Winlogon验证用户身份,加载用户配置文件。用户登录阶段用户配置文件包括用户的桌面设置、程序启动项等。启动用户级别的进程,如系统托盘、网络连接等。
99811编辑于 2023-12-18- 来自专栏Windows技术交流
安装cloudbase-init的自定义镜像里如果禁用光驱,会导致生成随机密码影响自动登录
ClearPageFileAtShutdown" /d 0 /t REG_DWORD /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName" /d "Administrator" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword" /d $Password /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
58330编辑于 2023-05-10 - 来自专栏Windows技术交流
服务器跟电脑不一样,有vnc会话和rdp会话之分,有些业务需要配置自动登录
null会弹窗,选"是"来卸载铁将军然后执行这3句来配置自动登录,执行命令前先密码具体化reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName" /d "Administrator" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v "DefaultPassword" /d "密码" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
66650编辑于 2023-05-18 - 来自专栏Bypass
Window下常见的权限维持方式
Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run # Winlogon \Userinit键 HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 关键词:注册表启动键值,类似的键值很多, 使用以下命令可以一键实现无文件注册表后门: reg HKEY_CURRENT_USER\Environment\ 创建字符串键值: UserInitMprLogonScript,键值设置为bat的绝对路径:c:\test.bat userinit后门 在用户进行登陆时,winlogon 利用USERINIT注册表键实现无文件后门: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit
1.5K20发布于 2019-12-12 - 来自专栏网络安全攻防
【神兵利器】风暴免杀-Bypass Defender/360/VT/火绒等
defender基于行为的监测技术能够发现被镂空的程序在执行恶意指令,因此会主动终止目标程序,但如果是winlogon.exe,它只会提示重启 5、实现了本地和网络分离免杀,由于shellcode每次生成的不一样 ,所以配置菜单中增加了SSH服务器,配置后可以自动将新生产的payload同步到web服务器上 免杀效果 1、Windows Defender 使用进程镂空(傀儡进程)winlogon.exe,Defender 仅提示病毒威胁选择重启,但不会主动杀掉镂空的winlogon.exe,实现稳定上线 2、Bypass 360 360鲲鹏引擎下无感知上线稳定运行 执行普通命令,新增用户等高危命令会告警,需要结合其它技术绕过 上有些厂家已经把pyinstaller打包的程序都当成病毒了,所以很难做到更低的免杀率: 4、火绒查杀 发现火绒把变量名当成静态特征查杀,增加了一些随机特性绕过火绒的静态特征查杀,火绒已经会对进程镂空winlogon.exe
1.1K10编辑于 2024-12-30 - 来自专栏Windows技术交流
通过winrm、自动化助手tat无法达到在系统内部执行命令的效果时,可以尝试这种办法
#具体化密码 #具体化密码 #具体化密码 #设置自动登录 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
60510编辑于 2024-03-12 - 来自专栏Windows技术交流
开机自动挂cfs
目录的可执行脚本来自动挂cfs步骤:1、配置自动登录3句命令:注意第2句,要具体化自己的密码reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName" /d "Administrator" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v "DefaultPassword" /d "密码" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
55520编辑于 2023-09-12 - 来自专栏Windows技术交流
组策略禁用所有帐户登录,安装anydesk,用anydesk远程vnc操作
在线密码工具生成随机复杂密码,注册表的密码要跟系统真实密码匹配,否则自动登录无效) reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
1.2K30编辑于 2023-06-16 - 来自专栏Windows技术交流
如何通过命令调整GPU云服务器VNC多显示器设置为仅在1上显示
执行前先把命令里的密码具体化成你服务器的密码再执行 先具体化密码再执行 先具体化密码再执行 先具体化密码再执行 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon disable_display2" /st 00:00 /sd 1900/01/01 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
2.1K10编辑于 2025-06-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号