windows应急响应工具篇 病毒分析PCHunter：http://www.xuetr.com火绒剑：https://www.huorong.cnProcess Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorerprocesshacker：https://processhacker.sourceforge.io/downloads.phpautoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autorunsOTL：https://www.bleepingcomputer.com/download/otl/SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector病毒查杀卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe大蜘蛛：http://free.drweb.ru/download+cureit+free火绒安全软件：https://www.huorong.cn360杀毒：http://sd.360.cn/download_center.html病毒动态CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn微步在线威胁情报社区：https://x.threatbook.cn火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html在线病毒扫描网站多引擎在线病毒扫描网：http://www.virscan.org腾讯哈勃分析系统：https://habo.qq.comJotti恶意软件扫描系统：https://virusscan.jotti.org针对计算机病毒、手机病毒、可疑文件等进行检测分析：http://www.scanvir.comwebshell查杀D盾_Web查杀：http://www.d99net.net/index.asp河马webshell查杀：http://www.shellpub.com深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html在线沙箱分析360安全大脑沙箱云：https://ata.360.net/dashboard微步云沙箱：https://s.threatbook.cn/魔盾安全分析：https://www.maldun.com/submit/submit_file/VirusTotal：https://www.virustotal.com/gui/home/upload

windows系统应急响应排查手册 windows运行常用命令eventvwr //系统登陆日志 lusrmgr.msc //系统用户查看 msconfig //系统启动项查看 ncpa.cpl //网络连接 firewall.cpl //防火墙状态 taskschd.msc //定时任务系统安全登陆日志eventvwr4624表示登陆成功 4625表示登陆失败 4648使用明文凭证尝试登录 4778重新连接到一台 Windows 主机的会话 4779断开到一台 Windows 主机的会话系统用户排查net user //无法看到$隐藏用户lusrmgr.msc regedit.msc //machine->sam该项->权限->替代所有子对象的权限项目 net user 用户 //查看用户详细信息lusrmgr.mscregedit启动项排查msconfig->services.msc->服务属性regedit->machine->microsoft->windows->currentversion->run注册表启动项检查方法1、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马:2、检查组策略，运行 gpedit.msc以上是开关机以及用户登录注销时会启动的脚本，注意查看里面是否存放了恶意脚本。msconfigmsconfig->services.msc->服务属性SC delete 服务名//启动服务删除regedit->machine->microsoft->windows->currentversion->run定时任务计算机->属性->管理控制面版->管理工具->计划任务taskschd.msc计算机->属性->管理 控制版面->管理工具->计划任务 进程排查任务管理器tasklist任务管理器tasklist /svc杀死进程taskkill /F /pid 3232网络状态排查netstat -anobpid定位tasklist | find "pid"wmic process get name,executablepath,processid | find 进程pidwmic process where name="powershell.exe"如果存在445端口查看文件共享开始-》运行-》cmd-》net share敏感目录排查%WINDIR% %TEMP% %UserProfile%\Recen 最近打开的文件 %LOCALAPPDATA% %APPDATA% 各盘下的tmp缓存目录，例如C:\Windows\Temprecent最近使用的文件记录，即可查看。清晰的记录了文件名称，修改时间，我们根据大体的文件打开时间找就行了。LastActivityView是出自Nirsoft的一款免安装的系统事件查看器，是一款合法的软件。软件的作者“Nir Sofer”也是一位令人尊敬的开发者，从2001年至今，始终致力于为所有人提供免费、实用的小工具。软件中的信息来源于Windows操作系统的事件消息。“LastActivityView”并不存储这些消息，只是将这些消息中与操作行为有关的内容，整理并直观的显示出来。通常这款软件用于软件、系统的行为分析，例如：“执行exe 文件、打开文件、文件夹、安装软件、系统启动、系统关机、网络连接、系统蓝屏、用户登录”。下载地址：https://pan.quark.cn/s/2ca23ab1d534

cs常用命令 browserpivot 注入受害者浏览器进程 bypassuac 绕过UAC cancel 取消正在进行的下载 cd 切换目录 checkin 强制让被控端回连一次 clear 清除beacon内部的任务队列 connect Connect to a Beacon peerover TCP covertvpn 部署Covert VPN客户端 cp 复制文件 dcsync 从DC中提取密码哈希 desktop 远程VNC dllinject 反射DLL注入进程 dllload 使用LoadLibrary将DLL加载到进程中 download 下载文件 downloads 列出正在进行的文件下载 drives 列出目标盘符 elevate 尝试提权 execute 在目标上执行程序(无输出) execute-assembly 在目标上内存中执行本地.NET程序 exit 退出beacon getprivs Enable system privileges oncurrent token getsystem 尝试获取SYSTEM权限 getuid 获取用户ID hashdump 转储密码哈希值 help 帮助 inject 在特定进程中生成会话 jobkill 杀死一个后台任务 jobs 列出后台任务 kerberos_ccache_use 从ccache文件中导入票据应用于此会话 kerberos_ticket_purge 清除当前会话的票据 kerberos_ticket_use 从ticket文件中导入票据应用于此会话 keylogger 键盘记录 kill 结束进程 link Connect to a Beacon peerover a named pipe logonpasswords 使用mimikatz转储凭据和哈希值 ls 列出文件 make_token 创建令牌以传递凭据 mimikatz 运行mimikatz mkdir 创建一个目录 mode dns 使用DNS A作为通信通道(仅限DNS beacon) mode dns-txt 使用DNS TXT作为通信通道(仅限D beacon) mode dns6 使用DNS AAAA作为通信通道(仅限DNS beacon) mode http 使用HTTP作为通信通道 mv 移动文件 net net命令 note 备注 portscan 进行端口扫描 powerpick 通过Unmanaged PowerShell执行命令 powershell 通过powershell.exe执行命令 powershell-import 导入powershell脚本 ppid Set parent PID forspawned post-ex jobs ps 显示进程列表 psexec Use a service to spawn asession on a host psexec_psh Use PowerShell to spawn asession on a host psinject 在特定进程中执行PowerShell命令 pth 使用Mimikatz进行传递哈希 pwd 当前目录位置 reg Query the registry rev2self 恢复原始令牌 rm 删除文件或文件夹 rportfwd 端口转发 run 在目标上执行程序(返回输出) runas 以另一个用户权限执行程序 runasadmin 在高权限下执行程序 runu Execute a program underanother PID screenshot 屏幕截图 setenv 设置环境变量 shell cmd执行命令 shinject 将shellcode注入进程 shspawn 生成进程并将shellcode注入其中 sleep 设置睡眠延迟时间 socks 启动SOCKS4代理 socks stop 停止SOCKS4 spawn Spawn a session spawnas Spawn a session as anotheruser spawnto Set executable tospawn processes into spawnu Spawn a session underanother PID ssh 使用ssh连接远程主机 ssh-key 使用密钥连接远程主机 steal_token 从进程中窃取令牌 timestomp 将一个文件时间戳应用到另一个文件 unlink Disconnect from parentBeacon upload 上传文件 wdigest 使用mimikatz转储明文凭据 winrm 使用WinRM在主机上生成会话 wmi 使用WMI在主机上生成会话 argue 进程参数欺骗

安全默认口令收集 共计3600条默认口令下载链接：安全默认口令大全.xlsx

windows命令执行写用户的注意事项 2023年第一篇博客，好久没有更新了，今天简单记录一下windows在写用户时的一些注意事项。在实战中碰到一些命令执行的漏洞，如果是linux系统，那我们都很熟悉，可以通过反弹shell，来接管目标服务器，那么windows可能需要多一些操作。1.有回显的情况下可以使用whoami net user 来查看当前当前用户是否具有写用户的权限2.新建用户这个应该都很熟了，不过需要注意的是在windows服务器是存在密码复杂策略的，如果想创建用户最好设置一个复杂点的密码，像test/test是肯定不行的，所以有时候出现问题并不是命令执行被拦截，而是出在这些基础命令上面 net user 用户名 密码 /add 当然光创建还不行，需要给这个用户加入远程访问组里，不然直接连会出现下面的状况3.加入远程桌面用户组 net localgroup "Remote Desktop Users" test /add 此时虽然可以进行远程访问，但该用户仅仅只是一个普通用户权限，需要将其加入管理员组，让其拥有足够的权限，这样我们访问过去才能进行更多的操作4.加入管理员组 net localgroup Administrators test /add 这四条命令执行完后就可以连接上我们的目标了那么以上是在目标服务器开启远程桌面的前提下，可以直接进行连接，如果没开启3389端口，则需要使用以下命令进行开启通过cmd命令开启和关闭3389端口Windows cmd命令如何打开？快捷键 Win键+r打开运行，输入“cmd”即可打开cmd命令行模式，执行下列命令即可开启3389端口的命令： REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f关闭3389端口的命令： REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f 将开启3389端口命令中的“00000000”改成“11111111”就是关闭。 也可以通过这个cmd命令开启3389端口： wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1那么今天就先写这么多，有时间在整理一下其他的知识点