随笔分类 - windows
摘要:反虚拟机、反沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 反虚拟机、反沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执
阅读全文
摘要:虚拟机识别 识别虚拟机虚拟机软件在模仿真机时会保留一些工作,例如特定的文件、进程、注册表项、服务、网络设备适配器等,通过它们可以帮助我们分辨虚拟机与真机。 检查CPU指令●CPUID 该指令以EAX = 1作为输入执行,返回值描述处理器功能。在物理机器上的ECX位将等于0。访客VM将等于1。 ●"H
阅读全文
摘要:Windows 基础服务搭建 磁盘管理 例1 新建两个 10G 的硬盘,名称为 A-10-1、A-10-2,挂载到主机; 新建镜像卷,使用所有空间,驱动器号为 D. 1. 开始——管理工具——计算机管理——存储——磁盘管理 2. 把新建的磁盘 1 和 2 联机初始化 3. 右键磁盘 1——建立镜像卷
阅读全文
摘要:Speed-Win 大纲 基础使用 环境变量 符号 会话 文件和目录 查看 创建 删除 查询 修改 链接 网络管理 IPC$ 查看网络信息 网络排错工具 RDP 防火墙 系统管理 系统信息 日志 系统设置 时间 注册表 计划任务 组策略 账号管控 进程管理 设备管理 硬盘-数据 安全设置 域 基础使
阅读全文
摘要:Secure-Win windows 加固+维护+应急响应参考 大纲 文件 可疑文件 系统 开机启动 账号 进程 注册表 日志 系统日志 日志工具 第三方程序日志 网络 端口 RDP DNS windows系统共享 防御密码抓取 防御Responder欺骗 阻止非 PPL 进程修改 PPL 进程的
阅读全文
摘要:PowerShell 笔记 什么是 PowerShell Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework 的强大功能. Windows PowerShell 需要用于管理 .NET 对象的语言.该语言需要为使用 c
阅读全文
摘要:WinRM 什么是 WinRM Windows 远程管理(WinRM)是 WS-Management Protocol 的 Microsoft 实现。 WS-Management 协议是一种基于 SOAP 的防火墙友好协议,旨在用于系统查找和交换管理信息。WS-Management 协议规范的目的是
阅读全文
摘要:PDB符号文件 什么是 PDB 文件 PDB(Program Data Base),意即程序的基本数据,是 VS 编译链接时生成的文件。DPB 文件主要存储了 VS 调试程序时所需要的基本信息,主要包括源文件名、变量名、函数名、FPO(帧指针)、对应的行号等等。因为存储的是调试信息,所以一般情况下
阅读全文
摘要:IPC$(Internet Process Connection) IPC$ 的概念 IPC$(Internet Process Connection) 是共享 "命名管道" 的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限, 在远程管理计算机和查看计算机的共享资
阅读全文
摘要:ACL 什么是 ACL windows 系统中的 ACL(Access Control List),用来表示组与用户权限的列表。比如文件、注册表的权限都包括 ACL,它用来表示哪些组与用户具有操作权限,其实主要是一组规则,定义哪些组与用户等对特定 AD 对象具有哪些权限。 ACL Access Co
阅读全文
摘要:组策略 组策略的概念 组策略(英语:Group Policy)是微软 Windows NT 家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO
阅读全文
摘要:域 注 : 笔记中拓扑图 xmind 源文件在其图片目录下 大纲 域的原理 域结构 单域 域树 域林 GC 全局编录 FSMO 域信任关系 DC 域控 PDC 主域控制器 BDC 辅域控制器 RODC 只读域控制器 AD 活动目录 DNS 域名服务器 前言 什么是域 域用来描述一种架构,和“工作组”
阅读全文
摘要:信息 记录收集 Windows 系统软硬件信息的命令 域信息见 信息收集 笔记 大纲 软件 版本信息 环境变量 开机启动 日志 应用服务 用户相关 硬件 网络 硬盘文件系统 软件 版本信息 ver windows 版本 winver 弹框显示当前 windows 系统信息 hostname 显示当前
阅读全文
摘要:协议 LLMNR 链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,IPv4 和 IPv6 的主机可以通过此协议对同一本地链路上的主机执行名称解析。Windows 操作系统从 Windows Vista 开始就内嵌支持,Linux 系统也通过 systemd 实现了此协
阅读全文
摘要:日志 前言 在 windows 系统的运行过程中会不断记录日志信息,根据种类可以分为windows日志(事件日志)、应用程序及服务日志,这些日志信息在取证和溯源中非常重要。 审核策略 Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略,若日后系统出
阅读全文
摘要:认证 注 : 笔记中拓扑图 drawio 与 xmind 源文件在其图片目录下 大纲 本地认证 LM-Hash NTLM-Hash 本地认证流程 DPAPI 网络认证 LM NTLM Challenge/Response NTLMv2 Net-NTLM hash 域环境中NTLM认证方式 SSP &
阅读全文
摘要:签名 数字签名结构 typedef struct _WIN_CERTIFICATE { DWORD dwLength; WORD wRevision; WORD wCertificateType; // WIN_CERT_TYPE_xxx BYTE bCertificate[ANYSIZE_ARRA
阅读全文
摘要:凭据 简介 Credential Manager,中文翻译为凭据管理器,用来存储凭据(例如网站登录和主机远程连接的用户名密码) 如果用户选择存储凭据,那么当用户再次使用对应的操作,系统会自动填入凭据,实现自动登录 凭据保存在特定的位置,被称作为保管库(vault)(位于%localappdata%/
阅读全文
摘要:内存管理 注 : 笔记中拓扑图 drawio 源文件在其图片目录下 更多内存相关知识点可见 内存笔记 Windows 内存管理可概括为三大机制: 虚拟地址空间管理; 物理页面管理; 地址转译和页面交换. 虚拟地址空间管理机制 在早期的计算机系统中, 程序员负责管理内存, 后来, 为了减轻程序员的负担
阅读全文
摘要:角色权限 用户帐户 在 Windows vista 或是 windows 7中,有两个级别的用户:标准用户和管理员. 标准用户是计算机 Users 组的成员; 管理员是计算机 Administrators 组的成员. Windows 内置用户账户 权限:System > Administrator
阅读全文