从描述信息中可以很清楚地看到会话中断和重新连接的事件,此时登录ID都一样,但是会话名称已经发生变化。 另外一种远程访问方式为远程协助,也会产生ID552、528、551和538事件(会伴随用户名为“ANONYMOUS LOGON”的成对ID540和538事件)。只是其中的真实用户名变成“HelpAssistant_abae4f”,其中的“abae4f”不知道是不...
举个例子来说:ID680事件的描述字段包括:“Logon account: Administrator”。这里“Logon account:”是固定的前置字段占位符,而后面的“Administrator”则是真实的实例名称,会根据实际的情况而变化。 我们可以打开本地的一条日志,点击描写字段部分的蓝色链接,联网的情况下可以查看到微软的支持中心中对该条日志的详细说明...
新登录: 安全ID: ANONYMOUS LOGON 帐户名: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录ID: 0x6ae53 登录GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程ID: 0x0 进程名: - 网络信息: 工作站名: CHINA-CE675F3BC 源网络地址: 192.168.0.122 源端口: 10234 详细身份验证信息: 登录进程: NtLm...
Account For Which Logon Failed:Security ID: S-1-0-0Account Name: -Account Domain: -Failure Information:Failure Reason: An Error occured during Logon.Status: 0xC0000022Sub Status: 0xC0000022Process Information:Caller Process ID: 0xbb8Caller Process Name: C:\Windows\System32\svchost.exeNetwork ...
!for_each_process ".process /r /p @#Process;!ntsdexts.locks" 看用户态进程的CriticalSecton锁; 如果普通三方进程内发生这种死锁, 一般只影响他自身; 如果是系统服务进程内发生这种死锁, 取决于服务进程用途, 可能导致系统功能组件异常, 也可能引发系统全局卡住. ...
logtype = 10 登录进程为advapi 零、约定 为方便后文叙述,不妨假设:软件学院服务器的本地管理员账户是:administrator。 一、缘起 昨日软件学院网站无法访问,后来发现是权限问题,配置后恢复正常。然解决途中,偶尔看到事件查看器中,有本地管理员administrator登陆系统的记录;但是经过询问,发现知道管理员密码的维护人员都...
LogonGuid {00000000-0000-0000-0000-000000000000} TransmittedServices - LmPackageName - KeyLength 0 ProcessId 0x7bc ProcessName C:\Windows\System32\winlogon.exe IpAddress 192.168.81.1 IpPort 61539 logtype = 10 登录进程为advapi 零、约定 为方便后文叙述,不妨假设:软件学院服务器的本地...
Logon Scripts Logon Scripts优先于av先执行,我们可以利用这一点来绕过av的敏感操作拦截 注册表路径为:HKEY_CURRENT_USER\Environment,创建一个键为:UserInitMprLogonScript,其键值为我们要启动的程序路径 效果如下 屏幕保护程序 在对方开启屏幕保护的情况下,我们可以修改屏保程序为我们的恶意程序从而达到后门持久化的目...
子系统DLL (比如Kernel32.dll、Advapi32.dll、User32.dll和Gdi32.dll),将已经文档化的Windows API函数,转译成Ntoskrnl.exe和Win32k.sys中恰当的且绝大多数未文档化的内核模式系统服务调用。 图形设备驱动程序,与硬件相关的图形显示器驱动程序、打印机驱动程序和视频微端口驱动程序。 控制台窗口宿主进程 在最初的Wind...
shell, or similar process. /// This logon ...