开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

阻止MSI在SYSTEM上下文中启动EXE

阻止MSI在SYSTEM上下文中启动EXE的方法有很多种，以下是一些常见的方法：

使用Windows防火墙：可以设置防火墙规则，阻止MSI在SYSTEM上下文中启动EXE。
使用应用程序白名单：可以设置只允许特定的应用程序在SYSTEM上下文中启动EXE。
使用软件限制策略：可以设置限制特定应用程序在SYSTEM上下文中启动EXE的策略。
使用安全软件：可以使用安全软件来检测和阻止MSI在SYSTEM上下文中启动EXE。
使用操作系统的安全设置：可以使用操作系统的安全设置来限制MSI在SYSTEM上下文中启动EXE。

推荐的腾讯云相关产品：

腾讯云防火墙：提供了丰富的防火墙规则，可以有效地阻止MSI在SYSTEM上下文中启动EXE。
腾讯云应用安全：提供了应用程序白名单和限制策略，可以有效地阻止MSI在SYSTEM上下文中启动EXE。
腾讯云安全中心：提供了安全检测和阻止MSI在SYSTEM上下文中启动EXE的功能。
腾讯云虚拟私有云：提供了操作系统的安全设置，可以有效地限制MSI在SYSTEM上下文中启动EXE。

产品介绍链接地址：

腾讯云防火墙：https://cloud.tencent.com/product/cfw
腾讯云应用安全：https://cloud.tencent.com/product/appse
腾讯云安全中心：https://cloud.tencent.com/product/scc
腾讯云虚拟私有云：https://cloud.tencent.com/product/vpc

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

红队测试之Windows提权小结

本节主要针对Windows操作系统下的权限提升进行介绍，提权是后渗透重要的一环节，在权限较低的情况下，站在攻击者的视角进行内部网络安全测试、系统安全测试、应用安全测试等方面会出现“束缚”，所测试出的质量与结果也会不同。本文基于Win操作系统下分别从内核漏洞、权限配置、DLL注入、注册表等方面展开介绍，其中包含漏洞本身的介绍、漏洞复现过程等内容的展现。该提权内容的阅读没有前后顺序，可根据读者自身所需进行全文阅读或某方向内容的阅读。

02

深入线程

前言　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　在校时认识的线程就是获取CPU执行时间的最小单位，多个线程共享所在进程的资源和内存空间，偶然会听说线程拥有上下文这一概念，但没有深入了解学习，如今工作一年多后顿悟要及时补回这方面的知识于是参考各大哥们所分享的资料，学习、总结一下自己对线程的理解，本篇内容主要从原理、使用上记录讲解线程相关知识，其中若有谬误请各位多多指正，并该篇会随自身对线程的理解不断的修改扩充，多谢关注。主要参考：.net 4.0 学习笔记（3

新Zloader感染链改进隐身和检测逃避技术

ZLoader（又称 Terdot）于 2016 年被首次发现，是臭名昭著的 Zeus 银行木马的一个变种。目前，该恶意软件仍然在积极开发中，平均每周发布 1 到 2 个新版本。

01

常用软件打包类型及静默安装参数(nsis|msi|InstallShield|Inno)

今天搞了一个装机软件，可以导入第三方软件，在导入的时候提示输入静默参数，于是我就了解了一些，什么是静默参数。

02

通过 SOCKS 代理 Windows 工具

通过受感染的主机利用 SOCKS 代理来自 Windows 攻击者机器的工具是一个包含一些细微差别和混淆空间的主题。这种细微差别源于将普通网络流量代理到目标网络的协议要求，以及可用于 Windows 以促进通过 SOCKS 代理网络流量的工具（或缺乏工具）。但是，从攻击的角度来看，将现有 Windows 工具和本机实用程序代理到网络中的能力具有重要价值。为此，这篇文章旨在逐步完成：

02

针对APT攻击的终端安全系统大规模评估

高级持续性威胁（APT，Advanced Persistent Threat）对蓝队来说是一项重大挑战，因为攻击者会长时间应用各种攻击，阻碍事件关联和检测。在这项工作中利用各种不同的攻击场景来评估终端检测与响应系统（EDR，Endpoint Detection and Response）和其他安全解决方案在检测和预防 APT 方面的功效。结果表明，由于最先进的终端安全系统无法预防和记录这项工作中报告的大部分攻击，因此仍有很大的改进空间。此外，还讨论了篡改 EDR 遥测提供者的方法，从而允许攻击者进行更隐蔽的攻击。

Windows 权限提升

本篇内容是内网安全攻防：渗透测试实战指南时的阅读笔记，笔记大部分内容均来自此书，另外一部分来源于一些公开文档和非公开文档，参考链接中均有注明。

02

渗透技巧——从Admin权限切换到System权限

07

Kaspersky AVP.exe DLL 劫持

Kaspersky AVP.exe 中的 DLL 注入允许本地管理员在不知道 Kaspersky 密码的情况下杀死或篡改防病毒软件和在高权限中执行命令。

02

虚拟机磁盘&UAC&服务和注册表&int文件

通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序损毁系统的效果。

01

关于linux中的CPU上下文切换

目录 1.什么是CPU上下文切换 2.CPU上下文切换的类型 3.如何查看系统中的上下文切换 4.案例 5.总结 ---- 读过倪朋飞的《Linux性能优化实战》经常说的 CPU 上下文切换是什么意思

02

msi的简单使用

Windows Installer 使用安装包，其中包含 Windows Installer 需要安装、卸载或修复产品以及运行安装程序用户界面 (UI) 的信息。每个安装包都包含一个.msi文件，该文件包含安装数据库、摘要信息流和安装的各个部分的数据流。

03

虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件

11月期间，Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种。Babuk在2021年初首次被发现，当时它开始针对企业进行双重勒索攻击，以窃取和加密数据。这一年晚些时候，一个威胁者在一个讲俄语的黑客论坛上泄露了Babuk的完整源代码。

02

恶意软件Purple Fox 伪装成 Telegram 安装程序传播

据Securityaffairs消息，Minerva实验室日前发现，未知攻击者正使用受感染的 Telegram 安装程序传播Purple Fox（紫狐）恶意程序。

02

netsh命令解析与实例使用

描述:netsh 在本地或者远程显示与修改当前正在运行的计算机的网络配置，为了存档、备份或者配置其他服务器, netsh也可以将配置脚本保存在文本文件中。他们通过一个或者多个服务,实用程序或协议提供配置和监视支持来扩展Netsh的功能，并提供脚本功能,IP地址、网关、DNS、MAC地址,Context(上下文)是特定于网络组件一组命令。

06

netsh命令解析与实例使用

描述:netsh 命令在本地或者远程显示与修改当前正在运行的计算机的网络配置，为了存档、备份或者配置其他服务器, netsh也可以将配置脚本保存在文本文件中。他们通过一个或者多个服务,实用程序或协议提供配置和监视支持来扩展Netsh的功能，并提供脚本功能,IP地址、网关、DNS、MAC地址,Context(上下文)是特定于网络组件一组命令。

02

SELinux入门学习总结

安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。

03

在Windows上安装社区版MongoDB

以下教程为使用MongoDB安装向导在Windows上安装MongoDB社区版 4.0。如要使用命令行（cmd.exe）运行 msiexec.exe进行安装，请参阅使用msiexec.exe进行安装。

04

域渗透-横向移动命令总结

Certutil是Windows自带的命令行工具，用于管理Windows证书并作为证书服务的一部分安装。Certutil提供了从网络中下载文件的功能，测试人员可以在远程主机上执行Certutil命令，控制其下载预先部署在可控服务器上的恶意文件，如攻击载荷等。

01

windows提权系列上篇

在渗透测试中，提升自己的权限是经常遇到的问题，往往在渗透中最容易获取的权限就是一个webshell，如果网站是架设在Windows系统上的，这时就可能遇到这样的问题，还有一种情况是在做横向渗透的时候，收集到一些可以远程连接桌面的帐号，这是也需要，在实际的渗透中有很多的地方会需要这个操作，这个系列就主要介绍各种提权的方式。

00

红队笔记 - 提权&权限维持

通常会检查我的权限 ( whoami /all) 和文件系统（tree /f /a来自C:\Users目录）以获取快速获胜或有趣的文件（尤其是用户主文件夹和/或 Web 目录）。如果没有找到任何东西，就会运行一个类似winPEAS.exe来识别任何漏洞。在枚举结果中查找的内容：

04

win7、win10、win11，安装系统跳过创建用户，直接启用 Administrator

1、按 Shift+F10 打开 cmd执行这2句命令启用Administrator

01

关闭反恶意软件保护（第 1 部分）-Windows Defender 防病毒

人们总是低估 Ring 3 的代码执行，因为它在网络攻击的情况下似乎毫无用处。反病毒代理通常会在恶意软件开始造成严重破坏之前将其击败，与在第 0 环中不同，攻击者只需覆盖回调和钩子并继续为所欲为。

02

windows提权看这一篇就够了

windows在日常的渗透中经常遇到，而在内网之前，经常会在所拿到的跳板机进行提权，这样后面横向，内网才能更好的展开（抓hash，必须得系统或管理员权限），所以这里做了一次window提权总结，建议收藏，反复看，熟能生巧！

02

windows提权看这一篇就够了

windows在日常的渗透中经常遇到，而在内网之前，经常会在所拿到的跳板机进行提权，这样后面横向，内网才能更好的展开（抓hash，必须得系统或管理员权限），所以这里做了一次window提权总结，建议收藏，反复看，熟能生巧！

03

radmin静默安装脚本

最近有一个需求，是配置新电脑的环境，步骤很简单，停止windows update 服务和禁止windows update服务，把登陆的ctrl+alt+delete的方式去除，最后要安装radmin。

02

实战 | BypassUAC的研究和思路

用户帐户控制(User Account Control)是Windows Vista（及更高版本操作系统）中一组新的基础结构技术，可以帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统，同时也可以帮助组织部署更易于管理的平台。

02

浅谈无文件攻击

与大多数恶意软件不同，“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹，而是直接将恶意代码写入内存或注册表中。由于没有病毒文件，传统基于文件扫描的防病毒软件很难侦测到它们的存在。然而，“无文件”攻击的定义已经逐渐扩大化，那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。

01

持续控制技术和策略（A View of Persistence）

其中第5个步骤“Installation”意思为“重新获得对系统的命令和控制（如果丢失），而不必重复步骤1到4”。当遇到一些操作不行的时候就要考虑权限问题，uac策略等！

01

Visual Studio Installer打包安装项目VS2015

使用VS2015的Visual Studio Installer打包安装项目，虽然整体操作很简单，但还是有几个特殊的点需要记一下，故写下此博客方便以后查阅

03

java卸载不了_java卸载不了怎么处理?卸载时总出现这个

控制面板里在管理工具里有服务一项，点开以后在里面找到windows installer一项，将其开启就行了，一般的只有.msi文件才用到的

01

无文件落地攻击

所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法，常用于逃避传统的安全检测机制，本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。

04

红蓝对抗之无文件落地攻击

所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法，常用于逃避传统的安全检测机制，本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。

01

.NET 的程序集加载上下文

我们编写的 .NET 应用程序会使用到各种各样的依赖库。我们都知道 CLR 会在一些路径下帮助我们程序找到依赖，但如果我们需要手动控制程序集加载路径的话，需要了解程序集加载上下文。

03

绕过360进行Word文档钓鱼

之前通过域或者宏功能进行攻击的钓鱼文档，需要目标用鼠标进行点击交互，并且会有明显的弹窗提示，容易被察觉，并且现在已经被大部分杀软查杀。之后，今年一月又爆出一个新的Office 0day漏洞（CVE-2018-0802），关于该漏洞的详细信息请点击这里[http://www.freebuf.com/vuls/159789.html],国内的Ridter大佬根据github上公开的一个利用脚本[https://github.com/zldww2011/CVE-2018-0802_POC]，编写了一个改进版的利用脚本--RTF_11882_0802,大佬Github地址[https://github.com/Ridter/RTF_11882_0802/]。自己技术菜，不是很了解原理，在这里就分享下我的利用方法，以及如何绕过杀软弹窗，大佬们轻喷！

05

计算机中断浅析

中断是计算机体系结构中的一个重要概念，用于处理器响应异步事件。中断设计对于提高计算机系统的性能和响应能力至关重要。下面详细讲解中断的工作原理、类型、中断处理流程以及中断设计的关键组件，并附上逻辑示意图。

01

关于bypassuac的探究

本文由团队成员编写，首发先知社区：https://xz.aliyun.com/t/10423

01

内网渗透基石篇--权限提升

在windows中，权限大概分为四种，分别是User、Administrator、System、TrustedInstallerTrus

06

[C#]SQL Server Express LocalDb(SqlLocalDb)的一些体会

SqlLocalDb是啥？其实就是简化SQL Server的本地数据库，可以这样子说，SQL Server既可以作为远程，也可以做本地，

02

常用软件的静默安装参数，双击自动安装

1. 软件如果已经安装，到注册表中查询其安装/卸载参数，看 InstallSource（如果有）和 UninstallString 的参数内容信息。

03

关于bypassuac的探究

用户帐户控制(User Account Control)是Windows Vista（及更高版本操作系统）中一组新的基础结构技术，可以帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统，同时也可以帮助组织部署更易于管理的平台。

02

Redis的安装 – Windows

要使用Redis，首先我们需要知道Redis是个什么东西（当然，需要使用Redis的，一般情况下也会对Redis有一些了解了）。

02

Caché 变量大全 $ETRAP 变量

$ETRAP包含一个字符串，该字符串指定发生错误时执行的一个或多个ObjectScript命令。

04

powershell自动化重装 cloudbase-init 为1.1.2版本

看下这篇文档，裸金属之外的Windows CVM重置密码有问题的，基本都能通过这篇文档解决，底层命令被破坏得太厉害的，建议备份数据重装系统，没必要在cloudbase-init上纠结

04

新版本 Redline 使用 Lua 字节码逃避检测

根据遥测数据，Redline Stealer 木马已经日渐流行，覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。

01

PPLcontrol：一款功能强大的受保护进程安全控制工具

PPLcontrol是一款功能强大的受保护进程安全控制工具，在该工具的帮助下，广大研究人员可以快速枚举出目标操作系统中受保护的进程，并获取指定进程的保护级别，或给目标进程设置任意保护级别。

01

[WCF权限控制]从两个重要的概念谈起：Identity与Principal[上篇]

在安全领域，认证和授权是两个重要的主题。认证是安全体系的第一道屏障，守护着整个应用或者服务的第一道大门。当访问者叩门请求进入的时候，认证体系通过验证对方提供凭证确定其真实身份。作为看门人的认证体系，只有在证实了访问者的真实身份的情况下才会为其打开城门，否则将之举之门外。当访问者入门之后，并不意味着它可以为所欲为。为了让适合的人干适合的事，就需要授权机制为具体的人设置具体的权限，并根据这些权限设置决定试图调用的操作或者访问的资源对该访问者是否是安全的。对于一个安全保障体系来说，授权是目的。但是授权的执行是假

Linux BSP实战课（中断篇）：中断控制器的硬件实现

中断机制在处理器中扮演着一个至关重要的角色，它是处理器异步响应外围设备请求的核心方式。从技术的深层次来看，中断是处理器在正常运行过程中，因外部或内部事件（如外围设备的输入/输出请求、异常错误等）而暂时中断当前执行的程序，转而执行特定的中断服务程序（Interrupt Service Routine, ISR）的过程。

01

从目录删除到SYSTEM Shell

使得非特权概要文件能够使服务（在SYSTEM安全上下文中运行）删除任意目录/文件的漏洞很少发生。由于没有使用这种原始技术的特权升级的既定路径，因此安全研究人员通常会忽略这些漏洞。偶然地，我在Windows错误报告服务中使用了一个不太可能的怪癖找到了这样的路径。尽管一些Twitter用户已要求撰写文章，但技术细节既非出色也不新颖。

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭