windows安全防护--cmd劫持

最新推荐文章于 2023-08-29 16:33:22 发布
转载 最新推荐文章于 2023-08-29 16:33:22 发布 · 1.2k 阅读 · 0

Windows Registry Editor Version 5.00   
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe]   
 
"debugger"="explorer.exe"   
 
把cmd.exe劫持为explorer.exe,也就是不让cmd.exe运行。   
 
reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f   
 
reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v debugger /d explorer.exe /f
[漏洞挖掘与防护] 04.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析
杨秀璋的专栏
10-16 1478
上一篇文章详细介绍了WinRAR漏洞(CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。这篇文章将分享Windows系统漏洞,通过5次Shift漏洞重改CMD,最终实现修改计算机密码并启动计算机,其思路还是比较有趣的,希望对您有所帮助!基础性文章,希望对入门的同学有帮助。
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 9190
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
木马启动之映像劫持
COSMOSJie的博客
05-08 520
木马运行的原理其实很简单
关于CMD劫持
weixin_34397291的博客
07-26 662
今天中了一个病毒,发现了这个问题,每次打开cmd的时候自动运行一个程序: 注册表位置: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]"AutoRun"="regedit.exe" 如上,每次运行cmd的同时就会打开注册表! 病...
windows安全防御
weixin_44996798的博客
04-29 327
windows安全防御 从Windows XP、Vista、Windows 7、Windows 8直至现在的Windows 10,各个系统的使用感觉是完全不一样的,要论系统的体验,没有哪一个能比Windows XP经典,不过要论系统的安全性,就属Windows XP最差了。 微软系统更新史 现在人们一提到系统的安全性,首先会联想到Mac系统和Linux系统,而绝非Windows系统,为什么人们会对...
Windows安全防范
Bug 无处不在!
07-12 1057
由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000 pro(建议还在使用98的朋友换换系统,连微软都放弃了的系统你还用它干嘛?)所以后面我将主要讲一下基于这两个操作系统的安全防范。  个人电脑常见的被入侵方式  谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:  (1) 被他人盗取密码;  (2) 系统被木马攻击;  (3) 浏览
信息安全-终端安全-Windows安全配置
qq_38169894的博客
12-18 2271
Windows安全配置 一、关闭Windows远程注册表 01-安全风险:禁用危险的远程注册表,防止hacker远程控制自己的机器; 02-安全措施:cmd->regedit(注册编辑表)->HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteRegistry->右键删除 二、设置登录系统时不显示上次登录的用户 01-安全风险:用户名泄露,增强爆破成功的可能性 02-安全措施:控制面板->本地安全..
网络安全渗透
weixin_65908240的博客
04-06 1240
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclu...
通信网络安全知识培训-笔试-测试卷技术.doc
10-10
12. **表单暴力猜解防护**:增加表单暴力猜解的难度可以采取多种措施,如a)增加输入长度限制、b)使用验证码、c)设置尝试次数限制,而d)减少字符集大小实际上可能会降低安全性,因为它减少了密码的复杂性,使得猜测更...
有关windows系统安全的CMD命令大全!
yxyhack's blog
11-30 3888
注册表类: 1.reg add 添加注册表键值 命令格式: REG ADD KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f] 常用参数:    KeyName   [//Machine/]FullKey             远程机器的机器名 - 忽略默认到当前机器。                  
Windows的基本安全防御措施
zoneidccom的博客
06-01 1430
Windows的基本安全防御措施【199cloud-艾娜】 Windows操作系统尽管给我们留下了许多不如意的回忆,但不得不承认的是:Windows仍然是应用范围最广的系统之一。面对如此庞大纷繁的操作系统,保护好其安全势在必行。对于目前关于Windows方面的安全技术和概念,本文将推荐以下方法,帮助广大网友更好的理解Windows安全机制。 1、必须安装防火墙和杀毒软件 虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障,不管这道屏障有多高或多矮,始终是利
禁用或启用任务管理器
daqinzl的专栏
08-29 841
在命令提示符cmd里, 执行以下命令禁用任务管理器。在命令提示符cmd里, 执行以下命令启用任务管理器。执行命令前确认当前用户在管理员组里。以管理员权限启动命令提示符cmd,
后门之shift后门制作及修复方法
shy的博客
08-24 8377
一、如何制作shift后门 方法1 在cmd窗口,敲打命令如下: copy c:\windows\explorer.exe c:\windows\system32\sethc.exe copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe attrib c:\windows\system32\sethc.exe +h attrib c:\windows\system32\dllcache\sethc.ex
关于浏览器被劫持主页的处理方法(完结版)
热门推荐
GT_Stone的博客
10-23 2万+
背景: 上个月重做了win10系统,系统激活过程中没有出现任何问题。重装office套装,使用暴风激活下载地址:(http://win.shibojiaa.cn/baofeng/)激活office套装后,发现所有浏览器主页被劫持。打开任何一个浏览器地址栏中显示:(http://uj7.gndh555.top/)随后跳转hao123。真的很恶心。毕竟自己是学计算机出身,觉得自己被摩擦了。 之前写过一篇关于浏览器主页被劫持的文章。给出了两个解决方法。 1、查看桌面快捷方式属性,目标...
微软服务器操作系统后门,Windows操作系统后门
weixin_34357614的博客
08-10 680
粘滞键后门在windows上连续按5次“Shift”,就可以调出粘滞键。方法一:将C:\Windows\System32目录下的sethc.exe替换如果目标机是 winvista 以上的,即 winvista 以后出的系统,修改 sethc 会提示需要 trustedinstaller 权限,所以想要继续,那就需要修改所有者为Administrator,并修改其权限:修改完成后以管理员身份运行执...
命令行下操作注册表劫持sethc提权
weixin_30314631的博客
04-27 406
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe"/v debugger /d taskmgr.exe /f Windows 控制台注册表工具 - 版本 3.0 格式就是:REG Operation 参数列表返回代码: 0 - 成功 1 - 失败 (...
禁止进程
weixin_30952535的博客
04-09 128
禁止进程 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f 输入后你关掉QQ就再也打不开了 取消禁止 取消方法: reg delete "HKLM\S...
如何用windows的命令号检测dns劫持
最新发布
07-22
<think>我们正在Windows系统上检测DNS劫持。根据引用[1]和[3],DNS劫持的主要特征之一是域名解析结果被篡改,即返回的IP地址与预期不符。我们可以通过以下步骤在Windows命令行中检查: 步骤1:使用nslookup命令查询目标域名的解析结果 步骤2:将返回的IP地址与已知的正确IP地址进行对比 步骤3:使用多个公共DNS服务器进行交叉验证(如8.8.8.8、1.1.1.1等) 具体操作: 1. 打开命令提示符(CMD)或PowerShell。 2. 使用nslookup查询域名,例如: ``` nslookup example.com ``` 记录返回的IP地址。 3. 使用公共DNS服务器再次查询同一域名,例如: ``` nslookup example.com 8.8.8.8 ``` 如果使用公共DNS返回的IP与第一步不同,则可能存在DNS劫持。 4. 还可以使用其他公共DNS服务器进行多次验证,如114.114.114.114(国内)等。 另外,引用[3]提到可以使用IIS7网站监控工具进行检测,但这里我们主要使用命令行。 此外,引用[4]中提到了检查网络配置的命令,我们可以检查当前的DNS服务器设置: 5. 查看当前网络配置的DNS服务器: ``` ipconfig /all ``` 查看连接对应的DNS服务器地址,如果这些DNS服务器不是你所信任的(比如被篡改为恶意DNS),则可能发生劫持。 6. 检查hosts文件是否被篡改(hosts文件中的解析会优先于DNS解析): 位置:C:\Windows\System32\drivers\etc\hosts 用记事本打开该文件,检查是否有对目标域名的恶意解析。 7. 使用whois工具(如引用[2]提到的whoisCL)查询域名的注册信息,确认DNS服务器设置是否正确。但注意,此步骤需要额外的工具。 综合以上步骤,我们可以通过命令行工具初步判断是否存在DNS劫持。 下面给出具体的命令行操作示例: 示例:检测域名"example.com"是否被劫持 步骤1:使用系统默认DNS查询 ``` nslookup example.com ``` 假设返回:192.0.2.1(非预期IP) 步骤2:使用Google DNS查询 ``` nslookup example.com 8.8.8.8 ``` 返回:93.184.216.34(预期IP) 步骤3:对比两个IP,如果不一致,则系统默认DNS可能被劫持。 步骤4:检查当前DNS服务器设置 ``` ipconfig /all ``` 在输出中找到当前连接的DNS服务器,如果发现是未知或不安全的DNS服务器,则可能是被篡改。 步骤5:检查hosts文件(需要管理员权限) ``` notepad C:\Windows\System32\drivers\etc\hosts ``` 查看是否有类似这样的行: ``` 192.0.2.1 example.com ``` 如果有,且不是你自己设置的,则可能是被篡改。 根据以上步骤,我们可以判断是否存在DNS劫持。 注意:如果使用公共DNS查询的结果与预期一致,但系统默认查询不一致,则基本可以确定是本地DNS配置问题(如被劫持)。 另外,引用[3]还提到使用IIS7网站监控工具,这是一个在线工具,可以辅助检测,但不在命令行范围内。 因此,总结检测DNS劫持Windows命令行方法: 1. 使用nslookup对比不同DNS服务器的解析结果。 2. 检查当前DNS服务器设置(ipconfig /all)。 3. 检查hosts文件。 如果发现异常,则存在DNS劫持。 最后,我们可以生成相关问题供用户进一步参考。 注意:在回答中,我们引用了[1][3]等,在适当位置标注。</think>### 检测 Windows 系统 DNS 劫持的完整指南 #### 一、基础检测方法(命令行工具) 1. **对比 DNS 解析结果** ```cmd :: 使用默认 DNS 查询 nslookup yourdomain.com :: 使用公共 DNS 查询(如 Google DNS) nslookup yourdomain.com 8.8.8.8 ``` - **判断标准**:对比两次返回的 IP 地址是否一致,若不一致则存在劫持风险[^1] - **预期结果**:应返回域名对应的真实服务器 IP 2. **检查当前 DNS 服务器** ```cmd ipconfig /all | findstr "DNS Servers" ``` - **风险特征**:出现未知 DNS 服务器(非运营商或自设 DNS) 3. **检测 hosts 文件篡改** ```cmd type %SystemRoot%\System32\drivers\etc\hosts | findstr "yourdomain.com" ``` - **劫持特征**:存在未经授权的域名解析记录(如 `192.168.1.100 yourdomain.com`) #### 二、高级检测方法 1. **DNS 响应对比测试** ```cmd :: 测试 3 个不同公共 DNS nslookup yourdomain.com 8.8.8.8 nslookup yourdomain.com 1.1.1.1 nslookup yourdomain.com 208.67.222.222 ``` - **劫持判定**:若本地 DNS 返回结果与其他公共 DNS 不一致[^3] 2. **检测 DNS 重定向** ```cmd :: 跟踪 DNS 查询路径 pathping yourdomain.com ``` - **风险特征**:数据包在到达目标 DNS 前被未知节点拦截 3. **检查 DNS 缓存污染** ```cmd :: 查看 DNS 缓存 ipconfig /displaydns | findstr "yourdomain.com" :: 清空缓存后重新测试 ipconfig /flushdns ``` #### 三、自动检测脚本 ```batch @echo off set "domain=yourdomain.com" set "public_dns=8.8.8.8" echo 正在执行DNS劫持检测... echo. echo [1] 本地DNS解析结果: nslookup %domain% echo. echo [2] 公共DNS(%public_dns%)解析结果: nslookup %domain% %public_dns% echo. echo [3] 检查hosts文件: findstr /i "%domain%" %SystemRoot%\System32\drivers\etc\hosts && ( echo 警告!hosts文件存在篡改记录 ) || ( echo hosts文件未检测到异常 ) echo. echo [4] 当前DNS服务器: ipconfig /all | findstr "DNS" ``` > **使用说明**: > 1. 将脚本保存为 `dns_check.bat` > 2. 右键选择"以管理员身份运行" > 3. 对比不同解析结果 #### 四、劫持特征判定表 | 检测项 | 正常状态 | 劫持特征 | |-----------------------|----------------------------|-----------------------------| | 本地 vs 公共 DNS 解析 | IP 地址一致 | IP 地址不一致[^1] | | hosts 文件内容 | 无目标域名记录 | 存在目标域名解析记录 | | DNS 服务器地址 | 运营商或自设 DNS | 未知 DNS 服务器 | | TTL 值异常 | TTL > 300 | TTL < 60(常见于劫持) | | 解析稳定性 | 多次查询结果一致 | 每次返回不同 IP | #### 五、劫持应急处理 1. **清除恶意解析** ```cmd :: 重置 hosts 文件 echo. > %SystemRoot%\System32\drivers\etc\hosts :: 刷新 DNS 缓存 ipconfig /flushdns ``` 2. **锁定安全 DNS** ```cmd :: 设置 Google DNS netsh interface ip set dns "以太网" static 8.8.8.8 netsh interface ip add dns "以太网" 8.8.4.4 index=2 ``` 3. **启用 DNS over HTTPS** 在 Windows 设置中: `设置 > 网络 > 适配器属性 > 编辑 DNS 设置 > 加密` 选择 **DNS over HTTPS** 并设置: - 首选 DNS:`https://dns.google/dns-query` > **最终验证**: > 执行 `nslookup yourdomain.com` 应返回与公共 DNS 一致的 IP 地址[^3] #### 六、长期防护建议 1. **部署 DNSSEC 验证** 在路由器或系统中启用 DNSSEC 验证(Windows 11 原生支持) 2. **定期检查 DNS 设置** 使用命令 `Get-DnsClientServerAddress`(PowerShell) 3. **安装安全监控工具** 使用专业工具如 **IIS7 网站监控** 实时检测劫持行为[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值