1、New-Item 创建新项命令cmdlet New-Item 将创建新项并设置其值。 可创建的项类型取决于项的位置。 例如,在文件系统 New-Item 中创建文件和文件夹。...New-Item 还可以设置它创建的项的值。 例如,在创建新文件时, New-Item 可以向文件添加初始内容。...还可以通过管道将值传递给 New-Item ● -Confirm:用于创建操作运行cmdlet之前是否需要确认 ● -Force:针对文件夹,不会覆盖,只会返回之前创建的文件夹,针对文件或者注册表会覆盖文件内容...2、Remove-Item 删除项命令Remove-Item cmdlet 删除一个或多个项。它支持删除许多不同类型的项,包括文件、文件夹、注册表项、变量、别名和函数。...Exclude *test*说明:-Include:包含某个字符串,支持通配符-Exclude:排除某个字符串,支持通配符 使用递归的方式删除当前目录和子目录中所有的txt文件Get-ChildItem
const fs = require('fs'); const path = require('path');
本文将介绍如何使用系统内置 DISM 工具进行安全清理 C 盘空间,清理 WinSxS 文件夹里面的可回收删除的程序包空间 开始之前,先使用管理员权限打开 CMD 或 PowerShell 命令行窗口。...在 Win11 下,可右击开始菜单,点击终端管理员打开管理员权限的 PowerShell 命令行窗口 先查看 WinSxS 文件夹里面的可回收删除的程序包数量和上次清理的时间,以及 WinSxS 文件夹所占用的实际空间...:13 可回收的程序包数 : 1 推荐使用组件存储清理 : 是 各个项的说明如下: Windows 资源管理器报告的组件存储大小:Windows 资源管理器计算的 WinSxS 文件夹的大小值。...此值不会考虑 WinSxS 文件夹中使用的硬链接。 组件存储的实际大小:此值考虑 WinSxS 文件夹中的硬链接。 它不会排除通过硬链接与 Windows 共享的文件。...这包含在实际大小中,是组件存储开销的一部分。 缓存和临时数据:这是组件存储在内部用于加快组件服务操作速度的文件的大小。 这包含在实际大小中,是组件存储开销的一部分。
HKEY_CURRENT_USER\Remote (Get-Item -Path "Registry::HKEY_CURRENT_USER\Remote").SubKeyCount # 1 # 例5:获取具有排除项的目录中的项...Remove-Item # 递归删除子文件夹中的文件 Remove-Item * -Include *.doc -Exclude *1 # 删除文件夹中的某些文档文件 Get-ChildItem...Get-Content 命令 - 获取位于指定位置的项的内容 描述: 打开文本文件它的别名有cat以及Type(与Linux中的命令相似)等其获取位于指定位置的项的内容; 语法参数: # 语法 Get-Content...您可以通过在命令中键入内容或指定包含该内容的对象来指定内容。...: 删除键的值内容 Remove-ItemProperty : 删除键的值 Tips:注册表几乎存储了Windows的核心配置。
TriFive通过登录合法用户的收件箱并从“已删除邮件”文件夹中的电子邮件草稿中获取PowerShell脚本,从而提供了对Exchange服务器的持久化后门访问。...下图显示的一封包含演示命令的邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本将通过PowerShell执行: 为了运行攻击者提供的命令,PowerShell脚本需要登录到Exchange服务器上的合法电子邮件帐户...,并检查“已删除邮件”文件夹中主题为555的电子邮件。...接下来,TriFive会将命令结果发送给攻击者,并将编码的密文设置为电子邮件草稿的消息体,它将保存在主题为555的“已删除邮件”文件夹中。...下图显示了TriFive脚本创建的“已删除邮件”文件夹中的一个电子邮件草稿样例,它会将命令的运行结果以主题为555,消息内容为“bQB5AHgAfgB5AH0AeQBmAGsAbgB3AHMAeABzAH0AfgB8AGsAfgB5AHwA
CoralRaider 的攻击传播 图源:思科Talos CoralRaider 感染链 Cisco Talos报告称,最新的CoralRaider攻击始于受害者打开一个包含恶意Windows快捷方式文件...LNK 包含 PowerShell 命令,可从 Bynny 内容分发网络 (CDN) 平台上攻击者控制的子域下载并执行严重混淆的 HTML 应用程序 (HTA) 文件。...HTA 文件包含 JavaScript,可解码并运行 PowerShell 解密器脚本,该脚本可解压第二个脚本,在临时文件夹中写入批脚本。...其目的是通过修改 Windows Defender 排除项来保持不被发现。 本机二进制文件 FoDHelper.exe LoLBin 用于编辑注册表键值和绕过用户访问控制(UAC)安全功能。...完成这一步后,PowerShell 脚本会下载并执行三种信息窃取程序(Cryptbot、LummaC2 或 Rhadamanthys)中的一种,这些程序已被添加到 Defender 扫描排除的位置。
添加集群 常见的 kubectl 多集群命令 升级 kubectl 故障排除和提示 随着 Kubernetes 1.14 宣布完全支持 Windows 节点,现在有更多关于在 Windows 上运行...此帖子将这些内容与实际经验相结合,以提供全面的指导。您可以根据组织的特定设置进行调整。...需了解的关键术语 术语 说明 kubectl 用于对 Kubernetes 集群运行命令的 CLI context 一个友好名称下的访问参数组(集群、用户、命名空间) kubeconfig 包含 kubectl...,用于下载 kubectl.exe 为 PowerShell 设置 kubectl 初始设置只需执行一次: 为 kubectl 二进制文件创建一个文件夹: New-Item -ItemType directory...-Path "C:\k" 将文件夹添加到您的 $PATH: [Environment]::SetEnvironmentVariable("Path", $env:Path + ";C:\k", "User
\dllcache\sethc.exe删除,这个文件夹中放着缓存,如果不删除就会自动变回去找到 ?...,该配置项会让php文件在执行前先包含一个指定的文件,通过这个配置项,我们就可以来隐藏自己的后门。...那么就可以利用php.ini中的配置项:auto_prepend_file,来让php文件在执行前先包含个指定的文件,这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell,也可以是一个图片马...不过前提是含有.user.ini的文件夹下需要有正常的php文件(见下面步骤,用正常php文件来当一个桥梁),否则也不能包含了。再比如,你只是想隐藏个后门,这个方式是最方便的。...shell=test时,先扫描.user.ini文件,通过.user.ini文件中的配置项auto_prepend_file,在test.php文件被执行前先读取test.jpg内容,if条件满足,执行
为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵痕迹排查工作,本人总结了自己的一些经验,下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项,仅作为参考使用。...需要注意是,如果排查资产中包含曾失陷资产的话,需要向客户索要历史攻防演练/应急等报告,在排查时需结合历史报告和指导手册内容一起进行排查,需要特别留意历史报告中攻击者的入侵痕迹是否已经完全清理。...二、排查内容 2.1windows主机 攻击者一般使用 attrib +s +h 命令隐藏恶意程序,故在排查痕迹前需打开“工具—文件夹选项—查看”。按照下图中的设置,即可显示所有文件。 ?...(注:aaaa中的键值0x3ea表示该账号与Users表中相应数值的表相对应,在删除账号时需一起删除) ? 注:异常账号删除后需要将之前授权的administrator移除SAM权限。...在得到客户授权,能够在可能失陷的主机上传排查工具时,可使用Autoruns工具进行详细的自启动项排查。排查中主要关注粉色条目,建议与客户运维人员一同查看,以及时排除业务所需的正常自启项。
加密器即可免杀(php一句话直接杀) 生成 PHP_XOR_BASE64 webshell 静态免杀测试 连接webshell 动态免杀测试 基础命令介绍 cmd #查看排除项 reg query...SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f ##cmd添加Windows defender排除项...$true #增加排除项 Add-MpPreference -ExclusionPath "c:\temp" #删除排除项 Remove-MpPreference -ExclusionPath "...成功上线 powershell #查看排除项 Get-MpPreference | select ExclusionPath #关闭Windows defender Set-MpPreference...-DisableRealTimeMonitoring $true #增加排除项 Add-MpPreference -ExclusionPath "c:\temp" #删除排除项 Remove-MpPreference
/win10/win11/未来发布的windows系统,不包括≤2012R2的系统我先详述如下,最后再录个视频(录屏在结尾)一、组策略排除二、powershell命令排除排除示例:powershell.exe...:$WDAVprefs = Get-MpPreference$WDAVprefs.ExclusionPathadd增加排除项Add-MpPreference -ExclusionPath "C:\Program...\*"Add-MpPreference -ExclusionPath "E:\*"$WDAVprefs = Get-MpPreference$WDAVprefs.ExclusionPathremove删除排除项...view=o365-worldwide五、存量机器用TAT下发powershell指令排除自动化助手TAT很方便,参考https://cloud.tencent.com/developer/article...等),下面的命令控制的是其中一种definition update(病毒特征库)其他的可能该更新还是会更新, 并且其他更新安装的时候也会自动同步新的definition update建议实际验证一下,
SyncTime是一款非常简单的文件同步工具,包含源文件夹和目标文件夹,可以轻松地使分布在许多设备上的所有备份副本保持最新的状态,是最简单的文件同步软件。...图片 SyncTime for mac(简单的文件同步工具) SyncTime mac版软件功能特点 在SyncTime中,我们说的是同步项。同步项目主要由两个文件夹组成:源文件夹和目标文件夹。...您可以选择Finder中可访问的任意两个文件夹:它们可以位于Mac上,外部驱动器(如USB随身碟)上,甚至可以位于远程服务器上。 您可以根据需要创建任意数量的同步项,并分别自定义每个同步项。...-选择三种不同的同步类型之一:单向同步(默认),两向同步(合并源和目标)和单向移动(成功转移到目标位置后删除源内容) -选择排除隐藏文件 -设置自定义过滤器。...您可以编辑单词列表,以便排除包含每个单词或单词的每个文件或目录 -排除单个文件或目录。
,原来默认存在这么多 Index 为 0 的计划任务 当然这里也打印了我们的隐藏计划任务 test1 这里将 Windows Server 2016 默认的计划任务中 Index 为 0 的详细内容记录下来...上面能够被排查出来,是因为存在无 SD 项的文件夹,如果攻击者再变态一点,直接把注册表中文件夹都删除了,会怎么样呢?...不着急直接变成变态,我们先尝试将文件夹中的计划任务test5删除掉 不耽误计划任务执行 开始变态,删除掉 testdir 不耽误计划任务执行 12....重启计划任务服务计划任务继续执行,不耽误 删除 SD 项 这种隐藏的弱点也就是计划任务项没有 SD 项,重启计划任务服务计划任务继续执行,不耽误 修改 SD 项 这种隐藏弱点主要在能被 powershell...发现, schtasks 对于这种和不存在的注册表显示有差异,可以枚举,重启计划任务服务计划任务继续执行,不耽误 删除文件夹 SD 项 这种隐藏的弱点也就是计划任务文件夹没有 SD 项,重启计划任务服务计划任务继续执行
4 PowerShell 的sherlock脚本 ?...如果启用此策略设置项,那么任何权限的用户都以NT Authority\System权限来安装恶意的MSI文件。...参数说明:“M”表示修改,“F”代表完全控制,“CI”代表从属容器将继承访问控制项,“OI”代表从属文件将继承访问控制项。这意味着对该目录有读,写,删除其下的文件,删除该目录下的子目录的权限。...计划任务 AccessChk用于在windows中进行一些高级查询、管理和故障排除工作。由于它是微软官方提供的工具,所以杀毒软件不会有告警。...六、 针对组策略首选项提取的防御措施 1.设置共享文件夹SYSVOL的访问权限 2.将包含组策略密码的XMl文件从SYSVOl目录中删除 3.不要把密码放在所有域用户都有权访问的文件中 4.如果需要更改域中机器的本地管理员密码
功能介绍 1、关闭系统事件日志记录功能; 2、清理文件和代码组件; 3、清理注册表; 4、支持多用户运行; 5、支持以普通用户或管理员身份运行(建议以管理员权限运行); 6、支持保存文件时间戳; 7、支持排除指定操作...工具下载 该工具本质上是一个PowerShell脚本,因此我们需要确保目标主机支持运行PowerShell。...广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/Idov31/MrKaplan.git 参数解释 -Users:该参数不支持与-RunAsUser参数一起使用,该参数允许删除其他用户在当前设备上的工具组件...; -RunAsUser:该参数不支持与-Users参数一起使用,该参数允许删除当前用户权限下的工具组件; -EtwBypassMethod:该参数不支持与-RunAsUser参数一起使用,该参数允许选择用于终止事件日志记录程序执行的方法...windowshistory => 不清理Windows历史记录文件夹 officehistory => 不清理Office历史记录文件夹 cryptnetcache => 不清理CryptNetUrlCache
找到 `HKEY_CURRENT_USER\Console\%SystemRoot%_system32_WindowsPowerShell_v1.0_powershell.exe` 下的项。...(具体这里面有标记[X]的那些项如何安装后文有详细讲解,这里简单提一下。) 这里面有四项内容: (1)Flutter 这是Flutter工具,就是刚才git下载的那个。...flutter源代码文件,就是你在github下载下来的那个项目源代码, 比如我放在了E:\develop\flutter,我只需要把flutter这个文件夹删除就可以了。...报错如下所示: 执行flutter doctor出的错 问题排查: 首先:我在电脑属性服务里面开启了BITS,这个问题已排除。...Flutter中文网 https://flutterchina.club/ 网友自制的中文网,内容翻译的比较多,但是内容还比较老,还没来得及更新最新内容。
找到 `HKEY_CURRENT_USER\Console\%SystemRoot%_system32_WindowsPowerShell_v1.0_powershell.exe` 下的项。...(具体这里面有标记[X]的那些项如何安装后文有详细讲解,这里简单提一下。) 这里面有四项内容: (1)Flutter 这是Flutter工具,就是刚才git下载的那个。...1. flutter源代码文件,就是你在github下载下来的那个项目源代码,比如我放在了E:\develop\flutter,我只需要把flutter这个文件夹删除就可以了。 1....报错如下所示: 执行flutter doctor出的错 问题排查: 首先:我在电脑属性服务里面开启了BITS,这个问题已排除。...Flutter中文网 https://flutterchina.club/ 网友自制的中文网,内容翻译的比较多,但是内容还比较老,还没来得及更新最新内容。
今天继续给大家分享PowerShell当中Get-Item相关的命令介绍,希望对运维的同事有所帮助! Get-Item 命令使用频率非常高,主要是获取位于指定位置的项。...一般搭配使用通配符 (*) 来获取项目的包含的项目。如果不使用*的话只是获取当前项的内容。 一、语法格式 二、示例 获取当前目录 说明: ....表示位于当前位置的项 获取当前目录中的所有项 说明: 通配符 (*) 表示当前项的所有内容 获取指定目录所有的项 注意:文件目录不要出现特殊字符,比如空格 等,否则执行会报错。具体看下图。...-Include:包含的一个或多个项作为字符串数组,可以使用通配符,简单来说就是根据文件名称进行过滤筛选,参数类型为字符串数组[]。...-Exclude:排除的一个或多个项作为字符串数组,可以使用通配符,简单来说就是根据文件名称进行过滤筛选,参数类型为字符串数组[]。 -Force:该参数用于获取无法以其他方式访问的项,例如隐藏项。
在运行Windows Server的计算机上创建一个新的事件日志和事件源。 • Remove-EventLog。删除一个自定义的事件日志,并将此事件日志的所有的事件源删除注册。...ServerManager 模块位于PowerShell安装路径下的Modules文件夹。...可以用New-Item 创建文件夹、网站、应用池、虚拟目录,或者用 Remove-Item 进行删除。...建议使用可用于服务器管理器的 Windows PowerShell cmdlet。 用法: ServerManagerCmd.exe 安装和删除角色、角色服务和功能。...也显示所有可用的角色、角色服务和功能列表,并显示在此计算机上安装了其中哪些内容。有关可以使用此工具指定的角色、角色服务和功能的详细信息,请参阅服务器管理器的“帮助”。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
