「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》
Windows应急响应
攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。
1)cmd中,输入 net user ,查看系统中创建的用户。
2)【控制面板】-【用户账户】-【用户账户】-【管理用户账户】中,可以看到系统中有哪些用户。
3)net user administrator,可以查看指定用户的信息,比如上次登录时间。
隐藏用户(username$)不能在 net user 和控制面板中看到。
1)WIN + R,输入 lusrmgr.msc ,打开本地用户和组,可以看到系统中的所有用户,包括隐藏用户。
2)WIN + R,输入 regedit ,打开注册表,找到\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
这个路径,可以看到系统中的所有用户,包括隐藏用户。
克隆账户通过修改注册表中的F值,使隐藏用户在不加入管理员组的情况下拥有管理员权限。
可以到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,查看是否有隐藏用户(username$),如果有,就看这个用户对应的F值和administrator对应的F值是否相同,如果相同,就是克隆账号。
日志可以高效的帮助我们分析、溯源攻击事件。
1)WIN + R,输入 eventvwr,打开事件查看器。
2)右键系统或安全日志 - 【筛选当前日志】,根据事件ID(Event id)筛选日志,快速定位入侵事件。
常用的事件ID有:
从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站,反推出攻击路径。
1)IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。
2)Apache日志存放在<Apache安装路径>/apache/logs/ 目录,access.log/error.log。
3)Tomcat日志存放在<Tomcat安装路径>/logs 目录
4)WebLogic 8.x版本:WebLogic安装路径\user_projects\domains\;
WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\
5)Jboss日志存放在<Jboss安装路径>/server/default/log/
6)Nginx日志默认存放在/usr/local/nginx/logs,access.log/error.log。
netstat -ano 查看网络连接,LISTENING表示监听状态。
netstat -ano | findstr "443" 查看指定端口的连接状态。
1)tasklist 命令查看计算机上的进程。
tasklist /v 显示详细信息(所有字段)
tasklist /svc 显示进程和服务的对应关系
tasklist /m 显示加载的DLL文件
2)wmic process命令也可以查看进程,比tasklist更加详细
wmic process get name,processid 过滤字段
wmic process where processid=453 过滤值
3)WIN +R,输入services.msc,打开服务工具,查看自启动的服务。
为了防止被控机器失联,很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。
1)WIN + R,输入msconfig,查看启动项中是否有异常的启动项目,有则禁用。
WIN10移动到任务管理器里面了。
2)WIN + R,输入gpedit.msc,打开本地组策略编辑器,检查是否有异常的启动脚本。
3)WIN + R,输入regedit,打开注册表,重点看下面这三个地方(第一个是用户设置的启动项,后两个是系统设置的启动项)。
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
4)WIN + R,输入msinfo32,打开系统信息工具,检查是否有异常的启动程序。
5)左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。
很多恶意程序会把自己添加到计划任务中,在固定时间启动。
1)WIN + R,输入taskschd.msc,打开任务计划程序,检查是否有异常的计划任务。
2)打开cmd,输入schtasks,默认展示所有的计划任务(和tasksched同步)。
Windows系统有很多敏感目录,可以帮助我们寻找攻击路径。
1)WIN + R ,输入 %UserProfile%\Recent,打开Recent目录,这里记录了最近打开的文件。
2)WIN + R ,输入 %temp%,打开Windows的临时目录,里面的文件默认拥有当前登录用户的读写权限,常被用来提权,重点检查exe、dll、sys文件,或者特别大的文件。
将可疑文件上传到沙箱或情报中心分析,比如:
https://ti.qianxin.com/https://www.virustotal.com/gui/home/upload3)WIN + R ,输入 %systemroot%\Prefetch,打开预读取文件夹,这里会缓存访问过的文件,以便下次访问时可以更快的加载。
4)查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。
5)使用相关工具查杀可疑文件。
服务器通常会安装杀毒软件,全盘扫描即可,如果没装就装一个。
杀毒软件一般不会做驱动对抗,如果怀疑是驱动类型的病毒,需要用专杀工具(奇安信顽固病毒专杀工具、360急救箱等)。
评论区留言即可参与抽奖,包邮送书《从零开始读懂Web3》。
立体拆解Web3,历史、技术、应用、趋势全掌握;小白入局Web3,了解工作、学习、创业新范式;Web3重构世界,不止于科技,更是一种思潮。所有这一切,都在重构我们的工作与生活,让我们从零开始,一起走进新一代互联网的世界。
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
我是Google云的新手,我正在尝试对其进行首次部署。我的第一个部署是RubyonRails项目。我基本上是在关注thisguideinthegoogleclouddocumentation.唯一的区别是我使用的是我自己的项目,而不是他们提供的“helloworld”项目。这是我的app.yaml文件runtime:customvm:trueentrypoint:bundleexecrackup-p8080-Eproductionconfig.ruresources:cpu:0.5memory_gb:1.3disk_size_gb:10当我转到我的项目目录并运行gcloudprevie
这似乎非常适得其反,因为太多的gem会在window上破裂。我一直在处理很多mysql和ruby-mysqlgem问题(gem本身发生段错误,一个名为UnixSocket的类显然在Windows机器上不能正常工作,等等)。我只是在浪费时间吗?我应该转向不同的脚本语言吗? 最佳答案 我在Windows上使用Ruby的经验很少,但是当我开始使用Ruby时,我是在Windows上,我的总体印象是它不是Windows原生系统。因此,在主要使用Windows多年之后,开始使用Ruby促使我切换回原来的系统Unix,这次是Linux。Rub
之前在培训新生的时候,windows环境下配置opencv环境一直教的都是网上主流的vsstudio配置属性表,但是这个似乎对新生来说难度略高(虽然个人觉得完全是他们自己的问题),加之暑假之后对cmake实在是爱不释手,且这样配置确实十分简单(其实都不需要配置),故斗胆妄言vscode下配置CV之法。其实极为简单,图比较多所以很长。如果你看此文还配不好,你应该思考一下是不是自己的问题。闲话少说,直接开始。0.CMkae简介有的人到大二了都不知道cmake是什么,我不说是谁。CMake是一个开源免费并且跨平台的构建工具,可以用简单的语句来描述所有平台的编译过程。它能够根据当前所在平台输出对应的m
深度学习部署:Windows安装pycocotools报错解决方法1.pycocotools库的简介2.pycocotools安装的坑3.解决办法更多Ai资讯:公主号AiCharm本系列是作者在跑一些深度学习实例时,遇到的各种各样的问题及解决办法,希望能够帮助到大家。ERROR:Commanderroredoutwithexitstatus1:'D:\Anaconda3\python.exe'-u-c'importsys,setuptools,tokenize;sys.argv[0]='"'"'C:\\Users\\46653\\AppData\\Local\\Temp\\pip-instal
在我做的一些网络开发中,我有多个操作开始,比如对外部API的GET请求,我希望它们同时开始,因为一个不依赖另一个的结果。我希望事情能够在后台运行。我找到了concurrent-rubylibrary这似乎运作良好。通过将其混合到您创建的类中,该类的方法具有在后台线程上运行的异步版本。这导致我编写如下代码,其中FirstAsyncWorker和SecondAsyncWorker是我编写的类,我在其中混合了Concurrent::Async模块,并编写了一个名为“work”的方法来发送HTTP请求:defindexop1_result=FirstAsyncWorker.new.async.
我在目录“C:\DocumentsandSettings\test.exe”中有一个文件,但是当我用单引号编写命令时`C:\DocumentsandSettings\test.exe(我无法在此框中显示),用于在Ruby中执行命令,我无法这样做,我收到的错误是找不到文件或目录。我尝试用“//”和“\”替换“\”,但似乎没有任何效果。我也使用过系统、IO.popen和exec命令,但所有的努力都是徒劳的。exec命令还使程序退出,这是我不想发生的。提前致谢。 最佳答案 反引号环境就像双引号,所以反斜杠用于转义。此外,Ruby会将空格解
电脑启动出现显示器黑屏是一个相当常见的问题。如果您遇到了这个问题,不要惊慌,因为它有很多可能的原因,可以采取一些简单的措施来解决它。在本文中,小编将介绍下面4种常见的电脑启动后显示器黑屏的原因,排查这些原因,快速解决! 演示机型:联想Ideapad700-15ISK-ISE系统版本:Windows10一、显示器问题如果出现电脑启动后显示器黑屏的情况。那么首先您需要检查一下显示器是否正常工作。您可以通过更换另一个显示器或将当前显示器连接到另一台计算机来检查显示器是否存在问题。如果问题仍然存在,那么您可以排除显示器故障的可能性。 二、显卡问题如果您的电脑配备了独立显卡,那么显卡故障也可能是导致电脑
我在安装“redcarpet”gem时遇到以下错误。它在我friend的机器上安装没有问题。(我想安装它来运行yard)ruby版本:1.9.3命令输出:D:\Learning\Common_POM_FW\SampleProjects>yard[error]:Missing'redcarpet'gemforMarkdownformatting.Installitwith`geminstallredcarpet`D:\Learning\Common_POM_FW\SampleProjects>geminstallredcarpetTemporarilyenhancingPATHtoinc
我们正在开发一个需要推送通知的WP8应用程序。为了测试它,我们使用CURL命令行运行推送通知POST请求,确保它实际连接,使用客户端SSL证书进行身份验证并发送正确的数据。我们确实知道,当我们收到对设备的推送时,这项工作是有效的。这是我们一直用于测试目的的CURL命令:curl--certclient_cert.pem-v-H"Content-Type:text/xml"-H"X-WindowsPhone-Target:Toast"-H"X-NotificationClass:2"-XPOST-d"MytitleMysubtitle"https://db3.notify.live.ne