damoshayu.cn,苍井空浴缸大战猛男120分钟,网址你懂的,中国女人内射6XXXXXWWW

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

前沿拓展:

win10退出遠(yuǎn)程

1、第一在切換虛擬桌面的時候,都是點擊Windows10任務(wù)欄的“來自任務(wù)視圖”按鈕。

2、在彈出的窗口中選擇需要切

Xp/2003

540

3

**B遠(yuǎn)程登錄成功

2008/2012/2016/win7/win8/win10

529

3

**B遠(yuǎn)程登錄失敗

2008/2012/2016/win7/win8/win10

4624

3

**B遠(yuǎn)程登錄成功

2008/2012/2016/win7/win8/win10

4625

3

**B遠(yuǎn)程登錄失敗

六、啟動項排查

黑客為了保持**能夠開機啟動、登錄啟動或者定時啟動,通常會有相應(yīng)的啟動項,因此有必要找出異常啟動項,并刪除之。啟動項的排查,這里引入一個非常好用的工具,工具名字Autoruns(官網(wǎng)www.sysinternals.com)。

1、自啟動項

autoruns查看

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

注冊表查看

**啟動項

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

一次性啟動項,下次啟動會自動刪除

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

32位程序啟動項

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

通過以下路徑放置程序也可以自啟動程序

%appdata%MicrosoftWindowsStart MenuProgramsStartup

2、任務(wù)計劃

autoruns查看

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

微軟自帶工具

taskschd.msc可啟動系統(tǒng)自帶任務(wù)計劃程序,可以查看任務(wù)計劃具體**作,顯示所有正在運行的任務(wù),并且可以開啟任務(wù)歷史記錄。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

注冊表查看

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTree

有些任務(wù)計劃做了隱藏可通過注冊表查看,這里任務(wù)計劃只有名稱,如果想知道任務(wù)計劃執(zhí)行內(nèi)容,可以結(jié)合任務(wù)計劃歷史記錄日志看判斷。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

服務(wù)排查

通過tasklist /svc,可以查看每個進(jìn)程所對應(yīng)的PID和服務(wù)

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

使用autoruns查看

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

注冊表查看

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices存儲著所有的服務(wù)啟動項

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

七、賬戶排查

查看用戶最后一次登錄,修改密碼時間,以及賬戶是否啟動。

net user xxx

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

通過PCHunter等工具可以查看隱藏用戶,如添加$符號的隱藏賬號,以及克隆賬號。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

八、宏**分析處置

現(xiàn)象:

EDR等殺軟報宏**,**名提示類似于W97M、VBA、MSWor、Macro。

分析過程:

根據(jù)文件后綴其實就能看出,該word文檔是帶有宏代碼的,m即為macro。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

為了分析腳本內(nèi)容,打開文件就會觸發(fā)腳本運行,但如果禁用宏的話,打開文檔是看不到腳本內(nèi)容的。為了以靜態(tài)方式提取樣本,這里會使用到一個分析程序oledump.py(https://github.com/decalage2/oledump-contrib)

oledump.py是一個用于分析OLE文件(復(fù)合文件二進(jìn)制格式)的程序,而word、excel、ppt等文檔是OLE格式文件的,可以用它來提取宏代碼。

先進(jìn)行文件基礎(chǔ)分析,可以看到A3這段數(shù)據(jù)被標(biāo)記為“M”,“M”即表示Macro,說明這段數(shù)據(jù)是帶有VBA代碼的。

python oledump.py SSL.docm

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

接下來我們就需要將這段VBA代碼提取出來,執(zhí)行以下命令,可以看到VBA代碼就被提取出來了。我們把他重定向到一個文件里即可。

python oledump.py -s A3 -v SSL.docm

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

這段代碼其實比較簡單。

1.先判斷**作系統(tǒng)位數(shù)設(shè)置不同路徑的rundll32.exe,第二通過CreateProcessA啟動rundll32.exe。

2.通過VirtualAllocEx在rundll32進(jìn)程里申請一段內(nèi)存空間。

3.通過WriteProces**emory將myArray數(shù)組的內(nèi)容,按字節(jié)寫入到剛才申請的內(nèi)存空間。

4.通過CreateRemoteThread在rundll32進(jìn)程創(chuàng)建遠(yuǎn)程線程,入口點為剛才申請的內(nèi)存空間首地址,并啟動該線程。

綜上所述,該代碼為遠(yuǎn)程注入惡意代碼到其他進(jìn)程,可以判斷為**。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

九、勒索**

勒索**特征

1、文件被加密成統(tǒng)一后綴,無法使用。

2、桌面存在勒索信息文件,或勒索信息背景。

勒索信息文件里的一串二進(jìn)制字符串,實際上是加密密鑰,但它被其他算法又加密了一層。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

加密原理

1.常見的勒索**加密算法為RSA+AES。

2.勒索**運行時會隨機生成一串AES密鑰,用該密鑰來加密文件,加密結(jié)束后,使用RSA公鑰對AES密鑰進(jìn)行加密,保存在本地。

3.解密需要**開發(fā)者提供RSA私鑰,解密本地AES密鑰文件,從而得到AES密鑰來解密系統(tǒng)數(shù)據(jù)。

所以別寄希望于逆向分析來解密

十、sy**on**

sy**on為windows提供了更強大的**功能,但遺憾的是sy**on只支持2008以后的系統(tǒng)。

sy**on安裝推薦xml文件下載鏈接

https://github.com/SwiftOnSecurity/sy**on-config

最常用的安裝方式

sy**on.exe -accepteula -i -n

但上述方式不支持DNS記錄,而且日志量會過大。

推薦安裝命令,使用上述git里的配置,可支持DNS記錄,并且可自行修改過濾器,記錄自己需要的。

Sy**on64.exe -accepteula -i z-AlphaVersion.xml

卸載

sy**on.exe -u

日志通過**查看器查看,因為sy**on的日志是以evtx格式存儲的。

具體**路徑為

應(yīng)用程序和服務(wù)日志-Microsoft-Windows-Sy**on-Operational

如下圖所示,或者你直接去C盤指定路徑查文件也行

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

如同windows自帶的系統(tǒng)日志,安全日志有**ID一樣,sy**on日志也有對應(yīng)的**ID,最新版本支持23種**。

Event ID 1: Process creation

Event ID 2: A process changed a file creation time

Event ID 3: Network connection

Event ID 4: Sy**on service state changed

Event ID 5: Process terminated

Event ID 6: Driver loaded

Event ID 7: Image loaded

Event ID 8: CreateRemoteThread

Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

Event ID 11: FileCreate

Event ID 12: RegistryEvent (Object create and delete)

Event ID 13: RegistryEvent (Value Set)

Event ID 14: RegistryEvent (Key and Value Rename)

Event ID 15: FileCreateStreamHash

Event ID 17: PipeEvent (Pipe Created)

Event ID 18: PipeEvent (Pipe Connected)

Event ID 19: WmiEvent (WmiEventFilter activity detected)

Event ID 20: WmiEvent (WmiEventConsumer activity detected)

Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)

Event ID 22: DNSEvent (DNS query)

Event ID 255: Error

案例

常用的有**ID 1,**進(jìn)程創(chuàng)建,惡意進(jìn)程的創(chuàng)建,包括他的父進(jìn)程,PID,執(zhí)行命令等等。

之前遇到過一起,開啟會自動運行powershell,但查了啟動項,任務(wù)計劃,wmi都沒發(fā)現(xiàn)痕跡,苦苦無解,第二使用sy**on**進(jìn)程創(chuàng)建,最終**是誰拉起了powershell,往上溯源找到是一個偽造成正常程序圖標(biāo)和后綴的link文件,存放在Startup目錄下,鏈接到存放在另一處的vbs腳本。

下圖即為進(jìn)程創(chuàng)建**日志,可以看到幾個關(guān)鍵點,創(chuàng)建的進(jìn)程,命令行,以及父進(jìn)程

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

**ID3,**網(wǎng)絡(luò)連接,當(dāng)惡意程序外連CC服務(wù)器或者礦池等**作的時候,可以**到是哪個進(jìn)程發(fā)起的連接。這邊也舉個例子,之前遇到一種**,當(dāng)你去用進(jìn)程管理器或分析工具去查看時,該**會自動退出,防止被檢測到,并且隨機一段時間重啟,但態(tài)勢感知上發(fā)現(xiàn)確實有挖礦行為,使用sy**on**,當(dāng)他不定時運行時,即可捕捉到他連接礦池的行為,從而**到進(jìn)程。

下圖為網(wǎng)絡(luò)連接**日志,可以看到網(wǎng)絡(luò)連接的五元組,和對應(yīng)的進(jìn)程。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

**ID22,是這次重磅推出的新功能,DNS查詢記錄,這功能讓應(yīng)急響應(yīng)人員可以很輕松的通過域名**到進(jìn)程,并且你即使開啟了dnscache服務(wù),也能**到原先進(jìn)程。dnscache是一個緩存服務(wù),簡單來講,就是會**其他進(jìn)程進(jìn)行dns解析,并且會緩存解析結(jié)果,下一次解析就不再發(fā)送請求,讀取緩存內(nèi)容返回給指定程序即可。所以大家使用內(nèi)存掃描工具,可能會**到dnscache服務(wù)進(jìn)程。

在監(jiān)測設(shè)備上發(fā)現(xiàn)可疑域名解析時,通過這個功能,可以輕松**到發(fā)起解析的進(jìn)程,從而進(jìn)一步分析進(jìn)程文件是否確實有問題。

如下圖所示,為dns查詢?nèi)罩荆瑫涗浗馕鲇蛎徒Y(jié)果,以及對應(yīng)的進(jìn)程PID和路徑。

win10退出遠(yuǎn)程(win10退出遠(yuǎn)程桌面繼續(xù)運行)

拓展知識:

win10退出遠(yuǎn)程

win10系統(tǒng)如何開啟或關(guān)閉遠(yuǎn)程桌面

win10退出遠(yuǎn)程

工具/原料

電腦
windows10**作系統(tǒng)
方法/步驟

在桌面上找到“此電腦”,右鍵選擇“屬性”

打開“屬性”窗口后,在左側(cè)欄找到并點擊“遠(yuǎn)程設(shè)置”

在打開的窗口中,先將“允許遠(yuǎn)程協(xié)助連接這臺計算機”前面的勾去掉,第二選擇下面的“不允許遠(yuǎn)程連接到此計算機”,最后點擊確定。

為了保險,將相關(guān)的服務(wù)業(yè)禁用掉。同時按住“win+R”鍵,調(diào)出運行窗口,在輸入框中輸入"services.msc",并點擊“確定”

在彈出的”服務(wù)“窗口中找到Remote desktop services這一項,并雙擊。

在彈出的該選項屬性窗口中,啟動類型選擇”禁用“,第二點擊”確定“即可。

END
注意事項

此**作與其他windows版本系統(tǒng)變化不大,其他版本也可參考此**作步驟

本回答被網(wǎng)友采納

原創(chuàng)文章,作者:九賢生活小編,如若轉(zhuǎn)載,請注明出處:http:///121478.html