原始问题:tasklist /svc结果如下(节选),pid 1560对应的svchost.exe是紧挨的2行,svchost.exe和1560只显示在第一行,单纯用tasklist /svc | findstr..."②用powershell处理字符串(虽然麻烦,但能看到代码之美、AI之美)让deepseek帮忙优化下代码做了如下改造,是因为最多的时候同一个svchost对应的服务有十几个,可能展示五六行,但其实有特点..." 和 "960" if ($tasklist[$i] -match "svchost.exe\s+960\s+") { # 输出当前行(svchost.exe 和 PID)...$tasklist[$i] # 输出下5行(最多的时候同一个svchost对应的服务有十几个,可能展示五六行) $tasklist[$i + 1] $tasklist..." 和 "960" if ($tasklist[$i] -match "svchost.exe\s+960\s+") { # 输出当前行(svchost.exe 和 PID)
图5.BazarBackdoor加载程序 “无文件”后门 在收件人启动下载的文件后,加载程序首先会休眠一段时间,然后才会连接到命令和控制(C2)服务器以下载后门有效载荷。...图7.XOR加密的有效载荷 最终,有效载荷将以无文件的形式注入“C:\Windows\system32\svchost.exe”进程。...图8.将后门注入svchost.exe 由于Windows任务管理中时刻都运行着大量的svchost.exe进程,因此大多数用户都不太可能会注意到什么时候多出了一个这样的进程,进而也就不会注意到后门的存在...此外,加载程序还被配置为在用户登录Windows时启动,这将允许后门的新版本被下载以及注入svchost.exe进程。 ?
边缘机提权:(利用烂土豆直接提上权限) 提权之后做进程迁移,直接把进程迁移到lsass进程中去。...这里的意思就是启动新进程的时候,系统无法将当前进程的令牌传递给新进程。也就是无法创建进程,所以只能通过其他方式来进行横向渗透。并且后期发现该域管理员密码已经进行修改。...(4)尝试攻击exchange服务器,来中继攻陷主机(失败) 这里就不放细节了,均以失败告终。...DC2子域权限维持: (1)把当前进程注入到lsass进程中去。...,但是没有通过邮件服务器来拿下DC的权限。
边缘机提权:(利用烂土豆直接提上权限)提权之后做进程迁移,直接把进程迁移到lsass进程中去。...这里的意思就是启动新进程的时候,系统无法将当前进程的令牌传递给新进程。也就是无法创建进程,所以只能通过其他方式来进行横向渗透。并且后期发现该域管理员密码已经进行修改。...(4)尝试攻击exchange服务器,来中继攻陷主机(失败)这里就不放细节了,均以失败告终。...DC2子域权限维持:(1)把当前进程注入到lsass进程中去。...,但是没有通过邮件服务器来拿下DC的权限。
域 ZombieBoy使用了多个运行HFS (http文件服务器)的服务器来获取有效载荷(payload)。...l 使用来自CreateToolhelp32Snapshot的快照来搜索正在运行的svchost.exe进程。 l 如果未找到,则会启动它并返回搜索svchost.exe。...l 如果找到一个,将维持svchost.exe的运行。 l 如果找到多个,会调用一个函数来创建一个vbs脚本,以删除额外的svchost.exe。...l 继续第一次运行中提到的主循环。 在检查了循环序号之后,Loader.dll将进入程序的主循环。 主循环: l 创建一个名为“ccfcdaa”的不可靠、自动重置、无信号的事件,句柄为0x8C。...任何不来自C:\Windows\System32的Svchost.exe进程都应被终止)。
首先把进程放到后台 nohup python main.py & 然后保持退出终端继续运行 ctrl-z bg 输出在nohup.out里面 输入fg,可以把任务调到前台并取消 输入jobs...显示后台进程
一、思路 先与客户端建立好连接, 每次监听到一个客户端之后,都需要产生一个子进程去处理这个连接,然后父进程继续去等待监听,唯一一个要注意的点就是要使用信号来监听子进程是否结束,从而对其进行回收,防止僵尸进程的产生...&opt, sizeof(opt)); (3)bind函数 bind(lfd, (struct sockaddr*)&ser_addr, sizeof(ser_addr));b这个函数主要目的就是将服务器的地址结构绑定到套接字...lfd上,所以开始要设置服务器的ser_addr:ser_addr.sin_family = AF_INET, ser_addr.sin_port = htons(8888);ser_addr.sin_addr.s_addr...监听到了客户端后,就要开始创建子进程来对这个监听进行处理;pid = fork() 3、子进程处理通信 因为子进程不需要监听连接,使用可以close(lfd);之后便可以进行通信处理 void do_work...sizeof(buf)); tcp.Write(cfd, buf, n); tcp.Write(STDOUT_FILENO, buf, n); } } 4、父进程回收子进程
S 13:02 0:00 \_ /usr/sbin/httpd 我们查看httpd 服务器的进程;您也可以用pgrep -l httpd 来查看; 我们看上面例子中的第二列,就是进程PID的列,其中4830...是httpd服务器的父进程,从4833-4840的进程都是它4830的子进程;如果我们杀掉父进程4830的话,其下的子进程也会跟着死掉; [root@localhost ~]# kill 4840 注:...是不是httpd服务器仍在运行?...[root@localhost ~]# kill 4830 注:杀掉httpd的父进程; [root@localhost ~]# ps -aux |grep httpd 注:查看httpd的其它子进程是否存在...,httpd服务器是否仍在运行?
Nginx服务器的进程有3类:主进程、工作进程、缓存进程 (1)主进程 Nginx启动时运行的主要进程,主要功能是与外界通信和对内部其他进程进行管理 主要工作内容 1)读取配置文件,验证有效性和正确性...2)建立、绑定、关闭 socket 3)按照配置生成、管理、结束工作进程 4)接收指令,如 重启、升级、退出 5)不中断服务,平滑重启、升级,升级失败的回滚处理 6)开启日志文件,获取文件描述符 (2)...工作进程 由主进程生成,生成数量由配置文件指定,工作进程生存于主进程的整个生命周期 主要工作内容 1)接收请求 2)将请求依次送入各个功能模块进行过滤处理 3)IO调用,获取响应数据 4)与后端服务器通信...,接收后端服务器处理结果 5)数据缓存,访问缓存索引、查询、调用缓存数据 6)发送请求结果 7)接收主进程指令,如 重启、升级、退出 (3)缓存进程 缓存进程有两类 1)缓存索引重建进程 nginx启动后由主进程生成...,在缓存元数据重建完成后就自动退出 该进程启动后,对缓存文件的目录结构扫描,在内存中建立索引元数据库 2)缓存索引管理进程 生存于主进程的整个生命周期 负责在索引元数据更新完成后,对元数据是否过期进行判断
如果该进程的SID与WinLocalSystemSid匹配,则KBOT使用带有CREATE_SUSPENDED标志的CreateProcess API来创建新进程svchost.exe,然后执行注入操作...svchost.exe进程复制主模块的标题和部分主体,然后从导入目录中导入,并使用重定位表目录中的信息进行手动重定位。...、svchost.exe、explorer.exe进程中执行类似的注入。...远程管理 KBOT与BC.ini文件中列出的服务器建立反向连接,使用RDP协议同时创建多个会话,恶意软件将配置远程桌面服务器设置: 1、查找内存中termserv.dll库的进程 ?...C&C通信 恶意软件单独启动一个进程用于接收和处理来自服务器的命令。使用网络连接wininet.dll API接收命令。接收命令的域位于hosts.ini文件中,恶意软件会定期更新该文件。
6、查看“svchost ”进程。 svchost. exe 是Windows XP系统 的一个核心进程。...svchost.exe 不单单只出现 在Windows XP中,在使用 NT 内核的Windows系统 中都会有svchost.exe的存在。...一般在Windows 2000 中 svchost.exe进程 的数目为2个,而 在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。 7、查看 网络连接 。...8、查看网络连接 当安装了WindowsXP的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU资源来为这些连接提供服务。...如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太 多系统 资源。
多个服务共享一个Svchost.exe进程利与弊 windows 系统服务分为独立进程和共享进程两种,在windows NT时只有服务器管理器SCM(Services.exe)有多个共享服务...windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。...既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?...ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。...,需要重起计算机或者该组的svchost进程。
当服务器有后台进程在运行时候,一般输出不会在命令行界面显示,需要一行命令来实时查看后台进程的输出结果先输入ps查看后台进程然后输入:python your_script.py > output.log...然后进入到后台程序的目录下面然后输入:tail -f output.log这样就可以实时查看后台进程输出了
次会用到我们上次写的多进程服务器 我们既然学习了 面向对象,就用面向对象来改进一个这个程序: import socket import re import multiprocessing class...self,): while True: cli_socket,cli_addr = self.tcp_server.accept() # 多进程实现调用该方法...self,): while True: cli_socket,cli_addr = self.tcp_server.accept() # 多进程实现调用该方法...最终还是要在服务器中国调用函数,我们想要把他分开。 很简单,我们把请求的方法从服务器传过去,在py文件中判断就好了。自己尝试一下。...但是WSGI就是负责和服务器交互的,我们需要在服务器中修改。
多进程TCP并发服务器 最初的服务器都是迭代服务器,服务器处理完一个客户的请求,再接受下一个客户的请求。但是我们的期望应该是一台服务器同时为多个客户服务。...实现并发服务器最简单的办法就是为每个客户均fork一个子进程。...[accept返回后客户-服务器的状态] 并发服务器的下一步是调用fork,下图是从fork返回后的状态。此时描述字listenfd和connfd是父进程-子进程共享的。...[fork返回后客户-服务器的状态] 下一步是父进程关闭已连接套接口,子进程关闭监听套接口。...[父子进程关闭相应套接口后客户-服务器的状态] 最后的结果是子进程处理与客户的连接,父进程可对监听套接口调用accept来处理下一个连接。
进程间通信(三) — 进程同步原语及管道与队列 回顾操作系统所提供的所有进程间通信方式的系统调用,我们会发现还有两种进程间通信方式我们还没有介绍:共享内存与域套接字,本文我们就来介绍这剩下的几种 IPC...但 Python 的 multiprocessing 包中仍然提供了两种方法让你可以在多进程环境下共享数据: 共享内存 服务器进程 3....服务器进程 — server process python 提供了一种十分类似共享内存的数据共享机制 — 服务器进程。...通过 multiprocessing 包中的 Manager 类可以构造一个服务器进程对象,他支持用于进程间共享的多种数据类型: list dict Namespace Lock RLock Semaphore...BoundedSemaphore Condition Event Barrier Queue Value Array 一旦创建,对象的使用与原生类型的用法是完全相同的,因此相比于共享内存,服务器进程的使用更为简单和灵活
故事情节: 有一天在聚餐中,我有一个朋友和我说他的服务器上有有个异常的进程他一直在占满CPU在运行,我在一顿谦虚之后答应了他,有空登录上他的服务器看一下具体情况。...就是以上三张图,在proc目录中的exe指向的文件已被删除,我看到这里,我好奇这个进程肯定是被隐藏掉了。这时,我急中生智跟这位朋友要了root账号密码。...登录服务器用top命令一看,发现一个奇怪的进程在运行,我使用kill命令将其杀后,等了十来分钟后,发现没有被启动,这时我和这位朋友说干掉了,他问我是不是kill掉了,我说嗯,他又补充到,这个进程杀掉过段时间会起来的...没过多久,我又看了一下,发现这个进程换了个名字又启动了。...还干满了CPU,就在这时,我在研究这个进程运行文件的时候发现: 这个进程会连到一个韩国的服务器上,我访问这个IP发现是一个正常的网站,没有异常情况。
reg_del 删除注册表项,然后将删除项发送到 C&C 服务器 reg_read 读取注册表项,将数据发送到 C&C 服务器 reg_value 在注册表中创建/写入值 proc_kill 通过进程名称或...ID 终止进程 proc_list 将所有正在运行的进程名称发送到 C&C 服务器 proc_start 通过指定路径执行文件 file_delete 删除文件或文件夹 file_download 通过指定...安装 将自身复制到%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe 将 svchost.exe 文件设置为隐藏与系统文件。...执行后文件会被复制到%USERPROFILE%\AppData\Roaming\Microsoft\\svchost.exe处。 ?...连接 C&C 服务器 Pekraut RAT 的 C&C 通信使用 portfowarding 的portmap.io隐藏 C&C 服务器的真实 IP 地址。
进程选项卡中一些常用的映像名称解释: smss.exe:会话管理 csrss.exe:子系统服务器进程 winlogon.exe:管理用户登录 service.exe:系统服务进程 lsass.exe:...svchost.exe:从动态链接库中运行服务的通用主机进程名称(在windows XP系统中通常有6个svchost.exe进程) spoolsv.exe:将文件加载到内存中以便打印 explorer.exe...:资源管理进程 internat.ext:输入法进程 端口分类: 1.公认端口,well known ports 2.注册端口,registered ports 3.动态端口,dynamic and/or
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
