首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

再探勒索病毒之删除副本的方法

影响平台:Windows 侵害的用户:任何组织 威胁程度:高 为了令勒索攻击实施有效,勒索软件进行的一个常见行动是备份(即影子副本),从而使受害者无法恢复任何已加密的文件。...VSS架构 在我们开始之前,关于复制架构,有几个重要元素读者应该熟悉。 复制服务(VSS):该服务负责协调执行影子复制相关操作的实体之间的所有动作,如相关的编写者和提供者。...它是处理影子副本删除尝试时最常见的目标。系统提供者采用了写后复制(CoW)机制,因此快照只保存这些更改被保存在指定的“ diff area”存储位置,通常是在同一个上。...但它们也可以保存在任何足够大的NTFS上。 现有的删除方法 有两种方法可以删除影子副本。第一种是使用命令行工具明确地删除影子副本,或者以各种介入API方式编程(我们将在此后面介绍)。...(如果还没有的话) 4.接下来,通过发送FSCTL_DISMOUNT_VOLUME和IOCTL_VOLUME_OFFLINE禁用。 5.打开备份的句柄(即C:,影子副本属性中的 “原始”)。

3.1K40
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    使用拷贝服务提取 ntds.dit 的多种姿势

    使用 Windows 本地拷贝服务,就可以获得文件的副本(类似与虚拟机的快照) 使用拷贝服务提取 ntds.dit 在活动目录中,所有的数据都保存在 ntds.dit 文件中。...只能管理系统 Provider 创建的拷贝)、显示已安装的所有拷贝写入程序(writers)和提供程序(providers),以及改变拷贝的存储空间(即所谓的“diff空间”)的大小等。...可用于创建和删除拷贝,以及启动和停止拷贝服务。...创建一个 C 盘的拷贝: cscript vssown.vbs /create c ? 列出当前拷贝: cscript vssown.vbs /list ?...监控拷贝服务的使用情况 通过监控拷贝服务的使用情况,可以及时发现攻击者在系统中进行的一些恶意操作。 监控拷贝服务及任何涉及活动目录数据库文件(ntds.dit)的可疑操作行为。

    3.1K10

    如何使用Windows拷贝服务恢复文件和文件夹

    点击了“导出”之后,ShadowExplorer将会显示一个对话框让你选择将文件恢复到哪里,选择好之后点击“确认”(OK)即可: 为什么恶意软件会尝试删除副本?...计算机勒索软件在感染了Windows系统并加密了目标用户的文件之后,通常都会尝试删除副本。...大家已经看到了,使用副本来恢复文件是多么的简单,那么勒索软件当然不想用户这么轻松地就恢复了自己的文件!...当勒索软件尝试删除副本时,通常使用的是下面这行命令: C:\Windows\Sysnative\vssadmin.exe"Delete Shadows /All /Quiet 这条命令执行之后,Windows...如果用户允许执行,那么vssadmin.exe将会删除目标主机中所有驱动器的副本

    3.6K60

    通过Webshell远程导出域控ntds.dit的方法

    AD域控机器上运行“vssadmin”命令,“vssadmin”命令将生成“C”盘的副本,并且从该副本我们可以复制“ntds.dit”和“SYSTEM”文件。...在创建“C”盘副本之后,我们需要将“ntds.dit”和“SYSTEM”文件从该副本复制到我们具有Web shell访问权限的机器上,即Windows域机器“LABONE”。...首先,我们先来检查下是否有“C”盘的副本可用。...“out.txt”文件内容显示,目标域控机器到目前为止并没有任何的副本。 让我们创建一个“C”盘的副本,以窃取“ntds.dit”和“SYSTEM”文件。...“out.txt”文件的内容将告诉我们副本的位置。 ? 在以上截图中我们可以看到,副本名为“\?

    1.4K10

    关于Windows Vista下几大还原技术比较

    windows vista下的备份与还原功能非常强大,除了系统还原,还有副本、备份副本、complete pc备份等。 本文遵旨在于防止用户混淆这些备份还原技术、明确各种技术适用的场合。...1、副本 我认为,对于那些日常文件,且用户不对其进行手动备份的话,这个功能最有用。 ? 副本可以是计算机上的文件的副本或者网络计算机上的共享文件的副本。...如果打开“系统保护”,Windows 将自动创建自上次创建还原点之后进行修改的文件的副本。通常每天创建一次还原点。 副本对于要求 Windows 正常运行的文件和文件夹不可用。...如果在还原之后使用“磁盘清理”删除还原点,“磁盘清理”还将删除副本。 2、备份副本 一般是手动进行备份的。 若要确保不会丢失在计算机上创建、修改和存储的文件,应该定期备份它们。...从网络位置还原副本也很相似,只要计算机连接到网络并且网络位置可用(计算机已经打开并且您有权限访问计算机或磁盘)。

    1.7K60

    解析勒索软件的通用技术

    发现相关文件后,只需解析内容提取有用的信息即可: 阻止系统恢复 删除副本 副本是 Windows Server 2003 首次引入的备份功能。...目前副本已经扩展到包括用于创建副本的多种模式,包括在特定时间点创建文件系统的完整快照。这些备份旨在最小化花费的时间和硬盘空间,差异备份技术的存储需求比传统全盘存储的要求小得多。...默认情况下,副本是在 Windows 创建系统还原点时创建的,许多时候还原点是系统的日常任务。...不管使用哪种创建模式,副本现在都是 Windows 内置备份和恢复工具的核心,这也使得副本成为勒索软件攻击的目标,从而让受害者更难从勒索中恢复文件。...删除备份 除了已经讨论过的副本外,Windows 还支持全盘备份,该方式使用整个文件系统的副本。如前所述,这种方式要大得多,会占用更多的资源。

    66730

    WMI 攻击手法研究 – 识别和枚举 (第四部分)

    如果在系统上有足够的权限,那么就可以创建磁盘的副本并尝试从那里提取机密。...但在此之前,对于那些不熟悉副本的人: 拷贝是 Microsoft Windows 中的一项技术,可以创建计算机文件或的备份副本或快照,即使它们正在使用中 为了副本进行交互,有 2 种可用的方法...,如下图所示: 快速创建副本很容易,只需要指定创建副本和上下文: (Get-WmiObject -Class win32_shadowcopy -List).create("C:\", "ClientAccessible...") 为此,我们可以创建一个符号链接,以便从本地资源管理器轻松访问卷副本: $link = (Get-WmiObject -Class win32_shadowcopy).deviceobject...+ "/" cmd /c mklink /d C:\shadowcopy "$link" 一旦准备好使用副本,那就可以简单地使用 -Thorough 选项运行诸如 Invoke-SessionGopher.ps1

    62630

    我所了解的内网渗透 - 内网渗透知识大总结

    - gets the remote processes and owners on a remote server 获取域方法 SYSVOL SYSVOL是指存储域公共文件服务器副本的共享文件夹...具体详细资料查看: https://technet.microsoft.com/en-us/library/cc772829(v=ws.10).aspx 使用VSS副本 什么是副本?...副本,也称为快照,是存储在Data Protection Manager(DPM)服务器上的副本的时间点副本副本文件服务器上单个的受保护共享,文件夹和文件的完整时间点副本。...获取系统SAM文件等 使用VSS副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...使用NTDSUTIL的IFM创建(VSS副本)在DC上本地引用NTDS.DIT NTDSUtil是本地处理AD DB的命令实用程序(ntds.dit),并为DCPromo启用IFM集创建.IFM与DCPromo

    4.2K50

    如何彻底删除2008数据库_excel批量筛选重复人名

    数据备份、文件服务器、软件镜像、虚拟磁盘等都需要占据大量的空间。对此,微软在Windows Server 2012中引入了重复数据删除技术。...重复数据删除技术通过将文件分割成小的 (32-128 KB) 且可变大小的区块、确定重复的区块,然后保持每个区块一个副本,区块的冗余副本由对单个副本的引用所取代。...“重复数据删除”使用可变分块大小和压缩,常规文件服务器的优化率为 2:1,而虚拟数据的优化率最高可达 20:1。...首先要为系统添加Data Deduplication角色 打开Server Manager,并点击File and Storage Services 选中Volumes,在你想要应用该项技术的上右键点击并选择...我在硬盘上拷了5个一模一样的文件,单个文件大小为3.43G,可见当启用了重复数据删除之后,总共大小为17.1G的5个文件在磁盘上竟然只占用了0bytes 再查看一下整个的情况,共占用3.38G,这3.38G

    87630
    领券