91大神精品在线视频,精品国产美女在线一区二区三区,中文字幕第一页亚洲天堂

下面，讓我們利用PowerShell過濾掉這些噪音：
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" | select -property * -exclude PS* | fl

看看這有多優(yōu)雅。想象一下，如果能夠通過類似方式讓數(shù)以千計的端點(diǎn)以這種清晰、無噪音的方式返回信息，這簡直就是藍(lán)隊的夢想。這種用于過濾的PowerShell非常適合在企業(yè)范圍內(nèi)運(yùn)行，以識別網(wǎng)絡(luò)中標(biāo)準(zhǔn)構(gòu)建之外的異常。
如果看一下運(yùn)行鍵，就會發(fā)現(xiàn)條目的名稱和附帶的命令。不過，運(yùn)行鍵的合法內(nèi)容可能有所不同，我們需要了解企業(yè)中什么東西是正常的，因為這樣才能知道哪些東西是不正常的。
在進(jìn)行安全審計時，有時需要過濾掉注冊表運(yùn)行鍵中合法的啟動項目。這其實很容易做到。為此，只需使用與上述相同的PowerShell，不過這次需要加上-exclude
標(biāo)志，然后是需要排除的PS*，后面加上一個逗號，以及其他不想看到的運(yùn)行鍵名稱。
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" | select -property * -exclude PS*, Vmware*,bginfo* | fl

惡意的運(yùn)行鍵下面，讓我們模仿一下攻擊者的一些行為。我們將在一個運(yùn)行鍵中插入一些惡意的東西，同時，我將向您展示：
第一，如何通過循環(huán)方式自動找到它。
第二，如何在不破壞其他合法運(yùn)行鍵的情況下將其從機(jī)器上清除。
假設(shè)我們已經(jīng)入侵了一臺機(jī)器，并希望在這臺機(jī)器上面維持相應(yīng)的權(quán)限。為此，我們編譯了evilcommand.exe，它能夠繞過人類已知的所有反病毒軟件，并向我們一個反向shell 。我們可以命令其中一個運(yùn)行鍵來執(zhí)行我們的惡意程序：
Set-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name '!Delete After Running' -Value "evilcommand.exe"
如果我們能夠在單行Powershell命令的末尾加上-whatif，它就不會真正運(yùn)行你的命令。相反，它將向您顯示如果您運(yùn)行它會產(chǎn)生什么效果。

當(dāng)您想真正運(yùn)行一些命令時，請使用-verbose標(biāo)簽。

這就是我們強(qiáng)制運(yùn)行鍵為我們做的事情：創(chuàng)建了一個名為“Delete_After_Running”的運(yùn)行鍵，其執(zhí)行值為“evilcommand.exe” 。注意前面這個感嘆號，正如我們已經(jīng)討論過的，它將確保程序在自我刪除之前運(yùn)行，以歡迎我們再次光顧這臺被入侵的機(jī)器。