早期的Windows没有线程的概念,整个系统只有一个"工作线程",上面同时跑着操作系统代码和应用程序代码.这种方式最大的缺点就是,一个应用程序运行时会霸占整台机器(应为只有一个工作线程),且当它发生死循环时,会造成PC停止工作.如果此时重启,更shit的是,所有的应用程序都会停止,且丢失数据.
lsass是windows中处理本地安全和登录策略的重要进程,几乎所有的windows身份认证程序都离不开lsass进程。因此在lsass的内存中会保存用户相关的凭证。它是windows主机中认证的重要组成部分,因此获取lsass内存也是MITRE ATT&CK框架中Credential Access战术下的重要技术点。
一、关机“右击”开始菜单—》关机或注销—》“关机” 或者 “更新并关机”EventID=1074进程:C:\Windows\Explorer.EXE,用户Administrator,关闭电源:其他(计划外)关机类型:关闭电源原因代码:0x0点击”开始菜单—》点击“电源”按钮—》关机EventID=1074进程:C:\Windows\System32\RuntimeBroker.exe,用户Administrator,关闭电源:其他(计划外)关机类型:关闭电源原因代码:0x0通过PowerShell执行sto
介绍 本文是介绍恶意软件的持久性及传播性技术这一系列的第一次迭代,这些技术中大部分是研究人员几年前发现并披露的,在此介绍的目的是建立这些技术和取证方面的知识框架。 用于证明概念的代码可以在CERT的G
人们总是低估 Ring 3 的代码执行,因为它在网络攻击的情况下似乎毫无用处。反病毒代理通常会在恶意软件开始造成严重破坏之前将其击败,与在第 0 环中不同,攻击者只需覆盖回调和钩子并继续为所欲为。
简介 尽管进程都设置了环境变量,它们往往被用户,开发者甚至是系统本身所忽略。对于一个像样的系统来说,环境变量就是其最根本,这里的系统包括但不仅限于Unix (Linux, BSD), Windows以及OS X。在微软操作系统的世界中,环境变量在其第一个版本DOS时期就已经出现,且一直沿用至今。环境变量得到重视还得从2014年9月份爆发的ShellShock漏洞说起。 关于ShellShock可参考 《ShellShock(破壳)漏洞余威不减:新ShellShock蠕虫扫描大量脆弱主机展开攻击》 《SEE
单进程单线程:一个人在一个桌子上吃菜。 单进程多线程:多个人在同一个桌子上一起吃菜。 多进程单线程:多个人每个人在自己的桌子上吃菜。
winmgmt.exe进程文件: winmgmt or winmgmt.exe进程名称: Windows Management Service描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求。 是否为系统进程: 是 absr.exe进程文件: absr or absr.exe进程名称: Backdoor.Autoupder Virus描述: 这个进程是Backdoor.Autoupder后门病毒程序创建的。 是否为系统进程: 否 acrobat.exe进程文件: acrobat or acrobat.exe进程名称: Adobe Acrobat描述: Acrobat Writer用于创建PDF文档。 是否为系统进程: 否 acrord32.exe进程文件: acrord32 or acrord32.exe进程名称: Acrobat Reader描述: Acrobat Reader是一个用于阅读PDF文档的软件。 是否为系统进程: 否 agentsvr.exe进程文件: agentsvr or agentsvr.exe进程名称: OLE automation server描述: OLE Automation Server是Microsoft Agent的一部分。 是否为系统进程: 否 aim.exe进程文件: aim or aim.exe进程名称: AOL Instant Messenger描述: AOL Instant Messenger是一个在线聊天和即时通讯IM软件客户端。 是否为系统进程: 否 airsvcu.exe进程文件: airsvcu or airsvcu.exe进程名称: Microsoft Media Manager描述: OLE 这是一个用于在硬盘上建立索引文件和文件夹,在Microsoft Media Manager媒体管理启动时运行的进程。它可以在控制面板被禁用。 是否为系统进程: 否 alogserv.exe进程文件: alogserv or alogserv.exe进程名称: McAfee VirusScan描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。 是否为系统进程: 否 avconsol.exe进程文件: avconsol or avconsol.exe进程名称: McAfee VirusScan描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。 是否为系统进程: 否 avsynmgr.exe进程文件: avsynmgr or avsynmgr.exe进程名称: McAfee VirusScan描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。 是否为系统进程: 否 backWeb.exe进程文件: backWeb or backWeb.exe进程名称: Backweb Adware描述: Backweb是一个Adware(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)来自Backweb Technologies.是否为系统进程: 否 bcb.exe 进程文件: bcb or bcb.exe 进程名称: Borland C++ Builder 描述: Borland C++ Builder 是否为系统进程: 否 calc.exe 进程文件: calc or calc.exe 进程名称: Calculator 描述: Microsoft Windows计算器程序 是否为系统进程: 否 ccapp.exe 进程文件: ccapp or ccapp.exe 进程名称: Symantec Common Client 描述: Symantec公用应用客户端包含在Norton AntiVirus 2003和Norton Personal Firewall 2003。 是否为系统进程: 否 cdplayer.exe 进程文件: cdplayer or cdplayer.exe 进程名称: CD Player 描述: Microsoft Windows包含的CD播放器 是否为系统进程: 否 charmap.exe 进程文件: charmap or charmap.exe 进程名称: Windows Character Map 描述: Windows字符映射表用来帮助你寻找不常见的字符。 是否为系统进程: 否 idaemon.exe 进程文件: cidaemon or cidaemon.exe 进程名称: Microsoft Indexing Service 描述: 在
内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如:
Windows 系统上的任务管理器进化到 Windows 10 的 1809 版本后,又新增了几项可以查看的进程属性。
平时开发大部人都是在提供了高效GUI的window下工作,但是真正部署环境普遍都是在Linux中,所以为了让开发环境和部署环境统一,我们需要在windows模拟LInux环境,以前我们可能通过虚拟机的方式实现,不过自从微软拥抱开源更加开发提供了Linux的Windows子系统(WSL)后,我们又多了一个选择,通过WSL运行linux程序(WSL比通过虚拟机来运行linux性能更强,耗费资源更小,安装linux环境最大只需要200多M)!经过几次调整WSL(用于Linux的Windows子系统,也被称为Bash for Windows)可以用于Docker for Windows。
阅读本文,你可以初步了解 Windows 上的 UAC 用户账户控制机制。本文不会涉及到 UAC 的底层实现原理和安全边界问题。
A : 一个应用程序池可以包含多个应用程序,一个应用程序池创建一个W3WP.EXE进程.那么我们就不能简单的说一个进程池对应一个W3WP.EXE进程了!其实是多个应用进程池对应一个W3WP.EXE进程的.
该文章讲述了Windows内核模式下的令牌(Token)和进程(Process)之间的关系。Token是Windows内核中的一个重要概念,代表一个特权级别的对象。它代表了系统的某个部分,比如一个线程、一个进程或一个I/O操作。Token在Windows系统中非常常见,是处理用户态和内核态之间权限问题的关键。在Windows系统中,进程之间的通信需要使用Token。在创建新进程时,可以通过复制父进程的Token来创建新进程的Token,这样可以保证新进程的安全性。同时,文章还讨论了Token与进程之间的关系,以及Token在Windows系统中的重要性。
我就知道有人会这么说,然而那样就成了一篇议论文了,而我只是想写一篇随笔。所以,不管事实是不是那样,反正我就是觉得Windows,MacOS,iOS都很流畅,而Linux,Android却很卡。当然了,这里说的是GUI,如果考量点换成是Web服务的吞吐和时延,那估计结论要反过来了,不过那是客户端程序感觉到的事,作为人,who care!
Windows中cmd窗口的文件下载(bitsadmin、certutil、iwr)
Kaspersky AVP.exe 中的 DLL 注入允许本地管理员在不知道 Kaspersky 密码的情况下杀死或篡改防病毒软件和在高权限中执行命令。
首先,PPL表示Protected Process Light,但在此之前,只有Protected Processes。受保护进程的概念是随Windows Vista / Server 2008引入的,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并遵守DRM(数字版权管理)要求。Microsoft 开发了这种机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是镜像文件(即可执行文件)必须使用特殊的 Windows Media 证书进行数字签名(如Windows Internals的“受保护的进程”部分中所述
注入与Hook:注入与hook经常被人们混淆,其实注入和hook是两种windows下的编程技术(当然,其他平台也有相关的技术),由于在安全编程中,两项技术经常被同时结合起来使用,所以常常导入混淆。今天我们就谈谈windows下的注入技术。
Windows本身就是一个抢占式操作系统,它的实现,必定有某种算法在里面,比如什么时候调度哪些线程,需要花费多长时间等问题。 我们时时在用Windows,作为程序员,我们有必要知道其中最贴近我们的算法。 为什么这么说?我们对系统发出的命令,获取信息等操作,Windows为什么能这么快作出反应吗?这仅仅是上下文切换那30毫秒的功劳吗?操作系统能依照人的操作,处理当前用户最迫切的请求,并在最短时间内给出反应,这些原因我们应该知道。 有人会提,这是线程的功劳,对。这是线程的功劳,你在操作的时候,都是线程在处理
Windows Defender for Endpoint(以前称为Windows Defender ATP)是一种“云驱动”的终端安全检测响应系统(EDR),比如说,警报和事件可以被推送到云端,防御人员可以直接在云端做出响应。
通常情况下,我们在进行软件开发和服务器管理时,习惯性地使用Linux作为主要的开发服务器。但是有的项目中,由于系统的特殊性,不得不切换到Windows服务器,这样的转变会让人非常不适应。对于那些习惯了Linux的开发者来说,就像博主一样,经常会弄混Linux和windows的指令。这篇文章有意总结一些常用windows命令,希望以后记错的时候方便检索正确的命令。
在GitHub上看到了一个利用SilentProcessExit机制dump内存的项目,于是学习了一下,于是今天来聊一聊利用SilentProcessExit机制dump内存,首先我们知道,在程序崩溃时或者系统崩溃时会产生崩溃后的文件。比如之前就有一篇文章,介绍的就是利用蓝屏崩溃来绕过卡巴斯基dump lsass进程(https://www.mrwu.red/web/2000.html),而在win7之后,windows引入一些进程退出的相关机制,即Selftermination的ExitProcess.与Crossprocesstermination的TerminateProcess.而我们今天所说的则是Silent Process Exit,即静默退出。而这种调试技术,可以派生 werfault.exe进程,可以用来运行任意程序或者也可以用来转存任意进程的内存文件或弹出窗口。若派生新进程的话其进程树如下:
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
本文将通过一个经典的 “tensorflow找不到dll” 问题来入手,给大家一个如何找到缺失dll的办法,进而再分享一个windows上排查问题的好工具(因为大多开发者在windows上开发&在linux上部署,windows还是绕不过)。
链接:https://blog.csdn.net/dog250/article/details/96362789
我就知道有人会这么说,然而那样就成了一篇议论文了,而我只是想写一篇随笔。所以,不管事实是不是那样,反正我就是觉得Windows,MacOS,iOS都很流畅,而Linux,Android却很卡。当然了,这里说的是GUI,如果考量点换成是Web服务的吞吐和时延,那估计结论要反过来了,不过那是客户端程序感觉到的事,作为人,who cares!
我们知道.我们使用CreateProcess 的时候会返回一个进程句柄.以及线程句柄. 其实在调用CreateProcess的时候.内核中会新建一个EPROCESS结构来存储我们的进程信息.
ShellExecute ShellExecute的功能是运行一个外部程序(或者是打开一个已注册的文件、打开一个目录、打印一个文件等等),并对外部程序有一定的控制。
微软宣布将在最新版的 Windows 11 Insider Preview Build 26052 中提供 Sudo for Windows。该工具改变了用户从非特权控制台会话(unelevated console session)直接执行特权命令的方式。Sudo for Windows 提供了一种直观、熟悉的解决方案。用户无需打开新的特权控制台窗口,这增强了用户体验。
一、问题: 1、SQL Server 所占用内存数量从启动以后就不断地增加: 首先,作为成熟的产品,内存溢出的机会微乎其微。对此要了解SQL SERVER与windows是如何协调、共享内
关于太古老的故事,我就长话短说,主要是留下个 UNIX进程调度器从何开始 的印象,这样方便我们理解为什么Linux的进程调度器会是现在的这个效果。
昨天晚上发现电脑出了点问题,用一用的系统消耗的内存就上到了1G多,系统报告虚拟内存不足.看了一下任务管理器,发现一个进程WINLOGON.exe可疑.网上找了一下资料,原来是中了木马"落雪",该木马还真强,在安全模式下用administrator登录也会启动,而且无法结束进程,而且江民卡巴都没有报告有病毒.花了点时间,找到了一个专杀工具,火速解决战斗,这个木马是通过电子邮件传播的,大家都看看自己的进程里面是不是有WINLOGON.exe,而且用户是当前用户的,有那就中招了.下面给出他的资料和专杀工具.
第一种解释:句柄是一种特殊的智能指针 。当一个应用程序要引用其他系统(如数据库、操作系统)所管理的内存块或对象时,就要使用句柄。
本章从IIS的历史介绍简述IIS的特性演进和IIS的架构,目的是使读者对IIS有一个初步的认识。让读者了解IIS是什么,能做什么以及IIS的组成部分。
大家好,又见面了,我是你们的朋友全栈君。 Have you ever opened up Task Manager and noticed the System Idle Process is u
终端产品一般部署在客户的环境中,那么奇奇怪怪的问题也就容易出现了。比如Windows产品进程为什么忽然停止了?这个时候稍微有些经验的程序员会做出以下判断:
在 Windows 和 Linux 的系统监控过程中,寻找占用 CPU 时间最长的线程/进程是一项非常重要的任务。下面将针对这个问题提供 Windows 和 Linux 平台下分别应该如何进行的解答。
学会下面这几个方法,让你轻松玩转内存溢出,我们会从 Windows、Linux 两个系统来做示例展示,有人会有疑问了:为什么要说 Windows 版的 ?因为目前市面上还是有很多 Windows 服务器的,应用于传统行业、政府结构、医疗行业等等;两个系统下的情况都演示下,有备无患,
在 Windows 系统中,管理员权限和非管理员权限运行的程序之间不能使用 Windows 提供的通信机制进行通信。对于部分文件夹(ProgramData),管理员权限创建的文件是不能以非管理员权限修改和删除的。
前几天,读者群里有小伙伴提问:从进程创建后,到底是怎么进入我写的main函数的?
为.NET 泛型主机的应用程序提供自安装为服务进程的能力,支持windows和linux平台。
后文会从 Windows、Linux 两个系统来做示例展示,有人会有疑问了:为什么要说 Windows 版的 ? 目前市面上还是有很多 Windows 服务器的,应用于传统行业、政府结构、医疗行业 等等;两个系统下的情况都演示下,有备无患
强制完整性控制(Mandatory Integrity Control,MIC),它是对 discretionary access control list 的补充,并且是在 DACL 之前检查的
有时候会感觉自己电脑行为有点奇怪, 比如总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎自己"中毒"了, 但X60安全卫士或者X讯电脑管家扫描之后又说你电脑"非常安全”, 那么有可能你已经被黑客光顾过了. 这种时候也许要专业的取证人员出场, 但似乎又有点小提大作. 因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过.
一、什么是进程 进程:正在进行的一个过程或者说一个任务。而负责执行任务则是cpu。 二、进程与程序的区别 程序:仅仅是一堆代 进程:是指打开程序运行的过程 三、并发与并行 并发与并行是指cpu运行多个程序的方式 不管是并行与并发,在用户看起来都是‘同时’运行的,他们都只是一个任务而已,正在干活的是cpu,而一个cpu只能执行一个任务。 并行就相当于有好多台设备,可以同时供好多人使用。 而并发就相当于只有一台设备,供几个人轮流用,每个人用一会就换另一个人。 所以只有多个cpu才能实现并行,而一个cpu只能实现
我记得微软Azure在国内刚落地的时候,当时的宣传语是Cloud OS,Azure就是云操作系统。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
