1、环境准备 安装php7.2 apt -y install php7.3 php7.3-common php7.3-cli php7.3-cgi php7.3-fpm \ php7.3-gd php7.3-mysql php7.3-sqlite3 php7.3-pgsql php7.3-opcache \ php7.3-mbstring php7.3-curl php7.3-xml php7.3-xmlrpc php7.3-zip \ php7.3-intl php7.3-json php7.3-bz2 安装 tor 、 mariadb、nginx apt -y update && apt -y install tor nginx mariadb-server 2、tor 实例配置 创建实例 tor-instance-create wordpress 编辑实例配置文件 nano /etc/tor/instances/wordpress/torrc 写入如下配置： HiddenServiceDir /var/lib/tor-instances/wordpress/hidden_service/ HiddenServicePort 80 127.0.0.1:58163 示例： 实例启动与自启动 systemctl start tor@wordpress systemctl enable tor@wordpress 查看onion域名 cat /var/lib/tor-instances/wordpress/hidden-service/hostname 正常的话会显示出域名，例如： 3、配置数据库 初始化数据库 mysql_secure_installation 注：运行命令后弹出第一行可以设置root密码，先设置数据库的root用户密码，然后保存，其他都Y 添加库 mysql -u root -p CREATE DATABASE wordpress CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; GRANT ALL PRIVILEGES ON wordpress.* TO wordpress@localhost IDENTIFIED BY '设置wordpress用户的数据库密码'; FLUSH PRIVILEGES; quit 4、wordpress下载 下载及授权 cd /var/www && wget https://wordpress.org/latest.zip unzip latest.zip 注：没有unzip可以先安装，apt -y install unzip rm -rf latest.zip chown -R www-data:www-data wordpress 5、配置Nginx 修改配置文件 nano /etc/nginx/nginx.conf 然后在http｛｝里添加一行： server_names_hash_bucket_size 128; 例如： 添加一个配置文件 cd /etc/nginx/conf.d/ && nano wordpress.conf 写入如下配置后保存： server { listen 127.0.0.1:58163; server_name pf73h6t33mvp7lsbr2solnfquubswqu65tirjffpty5tmnj46erbo3qd.onion; root /var/www/wordpress; index index.html index.php; client_max_body_size 100M; allow 127.0.0.1; deny all; server_tokens off; location / { try_files $uri $uri/ /index.php?$args; } location ~ \.php$ { fastcgi_pass unix:/run/php/php7.3-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } } 注：server_name 后填写你自己的onion域名 测试与启动Nginx 测试： nginx -t 显示successful即没问题。 启动： systemctl restart nginx 加入自启动： systemctl enable nginx Nginx启动成功后， 打开Tor浏览器访问你的 onion域名 就能浏览到网页了 ...

简介： Tor的路由主要分为3部分：网桥-中继-出口，也可以理解成入口节点-中间节点-出口节点，本文搭建的是入口节点 。 1、安装 apt -y update apt -y install tor obfs4proxy 2、配置Tor nano /etc/tor/torrc BridgeRelay 1 ORPort 9001 ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy ExtORPort auto # 这里的obfs4混淆使用随机端口，确保你的机器防火墙是关闭状态 ContactInfo xxxxx@qq.com # 邮箱地址，用于联系节点维护人员 Nickname SB # 节点的昵称，可以自己随便填写 例如： 上面配置完成后，一个公开的tor节点就配置好了，当然如果你想要配置一个私人的节点，那你可以在上面配置的基础上再加几行： PublishServerDescriptor 0 AccountingMax 100 GB #限制节点流量100G/月 AccountingStart month 1 00:00 #每月刷新流量 3、启动 配置完成之后重启tor/设置开机自启： systemctl restart tor systemctl enable tor 4、验证 下载tor浏览器： 点击下方【加入交流群】 配置连接 打开浏览器，点击配置 如下填写节点信息，然后连接就行了 ...

免责声明 ！！！本站纯粹的技术性交流！！！ ！！！请勿违反我国法律法规！！！ ！！！如有违规还请网警大大高抬贵手联系我删除！！！！ ===================================== 科学上网的问题，请大家遵从我国法律，请勿滥用！ 请勿转发外网与政治等敏感相关等问题以及讨论与政治等敏感信息！ 屏蔽翻/墙是为了保障好的政策环境， 互联网自由开放的程度是必须得把控的，希望你明白，珍惜这眼前的美好。 ====================================== 免责声明:本站所有有关科学上网等均是从互联网上转载，与本站无关。从本站下载的所有相关科学上网软件只供学术搜索、讨论等，下载后请于24小时内删除，一切责任与本站无关！请遵从我国法律！ PS:不管怎么样还是祖国好，请一定注意你们的形象！China No.1 1. 简单介绍一下 V2 V2 是一款运行在 Android 系统上的代理工具，支持 SS/V2Ray 协议。界面设计对新手较为友好，运行稳定性也不错。 2. 整理教程时的系统环境 Android 10, Color OS V7.0 V2 1.4.1 文档中的某些内容可能随时间变化而失效。 3. 下载和安装 V2 自行寻找 安卓手机使用 Chrome 浏览器可能遇到无法下载的情况，可复制教程链接到其它浏览器尝试下载。 4. 获取订阅链接 登陆机场官网，复制 V2 格式的订阅 例如： 5. 快速配置 V2 5.1 添加订阅 打开 V2 ，点击左上角三道杠标志，进入订阅设置。 点击 + 以添加新的订阅。请粘贴自己的订阅地址。 常考点： 返回软件首页。点击右上角三个点的选项。选择更新订阅后等待若干秒，软件会从服务器下载配置。 5.2 启动 V2 点击右下角 V 字图标启动代理。首次配置会提示是否创建**屏蔽敏感词**，请允许。 此时你的手机已经可以出国留学，enjoy。 ...

  免责声明 ！！！本站纯粹的技术性交流！！！ ！！！请勿违反我国法律法规！！！ ！！！如有违规还请网警大大高抬贵手联系我删除！！！！ ===================================== 科学上网的问题，请大家遵从我国法律，请勿滥用！ 请勿转发外网与政治等敏感相关等问题以及讨论与政治等敏感信息！ 屏蔽翻/墙是为了保障好的政策环境， 互联网自由开放的程度是必须得把控的，希望你明白，珍惜这眼前的美好。 ====================================== 免责声明:本站所有有关科学上网等均是从互联网上转载，与本站无关。从本站下载的所有相关科学上网软件只供学术搜索、讨论等，下载后请于24小时内删除，一切责任与本站无关！请遵从我国法律！ PS:不管怎么样还是祖国好，请一定注意你们的形象！China No.1！ 简介   V2RayN是一个基于V2Ray内核的Windows客户端。 下载自行寻找 使用教程首先，找到文件夹中的确v2rayn.exe文件，双击运行。 如果运行后找不到主界面，可以双击任务栏中的V图标以显示主界面。  添加订阅点击主界面的订阅-更新订阅，然后粘贴自己的v2ray订阅地址，填写备注等信息。注意勾选备用。然后保存。  更新订阅点击主界面的订阅-更新订阅，等待几秒钟即可。   启用节点选择一个节点，单击右键-设为活动服务器，即意味着选中了此节点。（也可以在左键点击节点名称以后按一下回车键，即Enter键） 选择代理在任务栏图标上单击右键，找到Http代理，推荐选择开启PAC，并自动配置系统代理(PAC模式)。勾选后，系统代理正式启动，已经可以达到科学上网效果。此模式下，V2RayN将会针对访问请求自动分流，国内站点直连，被屏蔽站点将走代理。（但也不是万能的，准确性非100%） PAC模式下任务栏图标将变成紫色。 如何设置开机自启在主界面点击参数设置，勾选开机自动启动。 如何显示网速统计在主界面点击参数设置，勾选启用统计，需要重启v2rayN客户端。 如何测试服务器状态在主界面点击测试服务状态，选择测试服务状态，即可查看真实延迟。 如何更新v2rayN及v2rayCorev2rayCore是v2ray的核心文件，v2rayN是图形化客户端。 在主界面点击检查更新，即可选择更新对象。 ...

免责声明 ！！！本站纯粹的技术性交流！！！ ！！！请勿违反我国法律法规！！！ ！！！如有违规还请网警大大高抬贵手联系我删除！！！！ ===================================== 科学上网的问题，请大家遵从我国法律，请勿滥用！ 请勿转发外网与政治等敏感相关等问题以及讨论与政治等敏感信息！ 屏蔽翻/墙是为了保障好的政策环境， 互联网自由开放的程度是必须得把控的，希望你明白，珍惜这眼前的美好。 ====================================== 免责声明:本站所有有关科学上网等均是从互联网上转载，与本站无关。从本站下载的所有相关科学上网软件只供学术搜索、讨论等，下载后请于24小时内删除，一切责任与本站无关！请遵从我国法律！ PS:不管怎么样还是祖国好，请一定注意你们的形象！China No.1！ 简介本教程为Java版本55R，适用于安卓9及以下的低版本系统。粉飞机(原版)，蓝飞机(Rixcloud)，紫飞机(Maying)均可参考此教程，   粉飞机由于架构过老,在安卓9以上的系统会有无法代理的Bug，请尽量使用蓝/紫飞机 这是安卓上最普及的一款 55R 客户端，又称“小飞机”。 文档中的某些内容可能随时间变化而失效。 下载安装自行寻找 快速上手请打开机场官网，复制 55R 订阅链接。   请打开软件，然后点击左上角以显示添加节点的界面。 此时您将看到一个名为 Default 的空节点，请先按住它左滑以删除。 然后点击右下角的 + 号，选择 “添加/升级 55R 订阅” 。 请在弹出的窗口中按住自带的空订阅，左滑，删除。 选择 “与节点一起删除” 。 然后再点一次 “添加/升级 55R 订阅” ，选择 “添加订阅地址”，然后在弹出的窗口中粘贴您的订阅地址。【下图仅供参考】然后点击 “确定并升级” 。 等待加载完毕后，您将看到您套餐内的节点。 您可以随便挑选一个节点，先进行延迟测试。（此步骤的目的是检测节点可用性，并非必需） 点击节点名字后边的小闪电标志即可。 如果节点可用，即可点击节点名字，进行下一步操作。 在开始连接前，建议先把代理模式修改为分流模式。具体操作如下： 请在这个页面下方找到 “功能设定” - “路由”。点开后选择 “绕过局域网和大陆” 。 设置完毕就可以正式启动软件了。请点击右上角的小飞机标志。 初次启动时会询问是否创建本地 VPN 隧道，请选择 “允许” 。 软件顶部将显示当前网速和延迟等信息。 更多建议将 酸酸乳 加入系统电池策略的白名单中，并锁定后台，以避免出现后台进程被系统干掉后无法进行科学上网。分应用代理有助于选择指定应用上网,节约电量并智能分流，推荐自行研究 ...

注意：从2.1.56版本开始，出于安全考虑默认仅允许CA机构颁发的证书。自签的证书要在节点里开启允许不安全或者将证书导入到iOS系统里。 1. 简单介绍一下 Shadowrocket是 iOS 平台上较早出现的支持 55R 协议的客户端，坊间称作“小火箭”。 软件性能较好，稳定性较高，曾一度独领风骚。不过后来又涌现出一大批优秀的代理工具，如 Surge 、 Quantumult 等。 虽然稳定性在客观上略逊于 Quantu mult ，但是界面简单，较为直观，价格较低，上手难度低。适合扶墙新手入门使用。 根据中国大陆政府要求，此软件已被 Apple 从中国大陆区的 App Store 移除，之前在中国大陆商店购买此软件的用户将不能获得更新或重新下载。 2. 获取软件 方法：美区账号 自己注册美区号购买或者找代购美区应用。盗版和多账户下载已被开发者限制，无法使用正常功能。 3. 注意 文档中的某些内容可能随时间变化而失效。 4. 此文档初次整理时的系统环境 iPhone 11 (国行),128G Shadowrocket 2.1.61 (1052) 5. 快速上手 5.1 添加服务器 A. 无订阅链接情况下： 小火箭支持多种方法添加节点。 · 扫码导入 （推荐） 如果你有节点二维码，可以直接点击小火箭左上角的扫码按钮，自动识别并添加。 · 复制节点链接以导入 节点连接通常以 55R:// 之类的字符开头，后面又跟着很多字符。直接复制节点链接，打开小火箭，软件会自动侦测剪贴板内容并识别节点信息，弹窗询问时候保存。点击确认即可。 B. 有订阅链接情况下[推荐]： 打开 Shadowrocket，点击 + 按钮 在新的页面中，选择「类型」为 Subscribe 在 URL 一栏粘贴自己的 订阅链接 ，备注一栏可以随便填写 5.2 启动服务 此时已完成最基本的设置，已经可以开始使用。 点击 「延迟测试」，若干秒之后节点右侧会有数值显示。如下图。 建议选择一个延迟较低的节点后打开右上角的开关进行连接。（但请注意延迟与网速并无关系） 在 Shadowrocket 主页面选择一个接入点，然后点击顶部的开关。 如果是第一次使用，则会提示需要添加 VPN 连接。 点击 Allow 后按系统提示操作，验证密码或 Touch ID。之后会自动返回到 Shadowrocket 界面并启用。 6. 补充配置 · 「全局路由」选项建议设置为 配置 以实现自动分流功能，不影响国内服务的连接。 · 使用第三方分流规则 点击下方的「配置」，再点击右上角 + ，将配置文件地址粘贴进去（大多数情况下软件可以自动识别并填入链接）并点击「下载」。 这里推荐使用此规则： https://raw.githubusercontent.com/solikethis/SS-Rule-Snippet/master/LAZY_RULES/Shadowrocket.conf 【注】配图较早，地址不一样，是正常现象，懒得换图了。 点击下载好的远程文件，选择「使用配置」。 免责声明 ！！！本站纯粹的技术性交流！！！ ！！！请勿违反我国法律法规！！！ ！！！如有违规还请网警大大高抬贵手联系我删除！！！！ ===================================== 科学上网的问题，请大家遵从我国法律，请勿滥用！ 请勿转发外网与政治等敏感相关等问题以及讨论与政治等敏感信息！ 屏蔽翻/墙是为了保障好的政策环境， 互联网自由开放的程度是必须得把控的，希望你明白，珍惜这眼前的美好。 ====================================== 免责声明:本站所有有关科学上网等均是从互联网上转载，与本站无关。从本站下载的所有相关科学上网软件只供学术搜索、讨论等，下载后请于24小时内删除，一切责任与本站无关！请遵从我国法律！ PS:不管怎么样还是祖国好，请一定注意你们的形象！China No.1！ ...

今天我们来看两个很有用的小技巧。 奇形怪状的数字转阿拉伯数字 我们知道，在某些场景下面，有些人会使用各种奇奇怪怪的符号来表示数字。例如有些人写自己的 QQ 号，是这样写的： 加扣：五⑦捌二3玖 对于这种奇奇怪怪的数字，如果我们想要批量转化为数字，可能要提前创建一个字典来映射： {'一': 1, '二': 2, '三': 3, ...} 显然，这样写起来非常麻烦。那么有没有什么办法来解决这个问题呢？实际上 Python 是认识这些表示数字的符号的，我们不需要提前设置任何映射，Python 自动就能转换。例如： from unicodedata import numeric print(numeric('五')) print(numeric('⑦')) 运行效果如下图所示： 所以，对于上面这种特殊的数字，我们可以很容易地转换成阿拉伯数字： from unicodedata import numeric data = '五⑦捌二3玖' result = 0 for char in data:     result = 10 * result + int(numeric(char)) print(result) Linux 如何快速获取本机 IP 字符串 在服务器上，有些脚本在运行的时候，需要传入它所在服务器的 IP 地址。但这些脚本具体运行在哪个服务器上，这是由 K8S 这类的东西管理的，我们提前不知道脚本会运行在哪个服务器上，所以不能提前设置。 如果你的脚本是 Python 开发的，那么显然你可以直接在 Python 里面获得当前服务器的 IP 地址。但不是所有编程语言都像 Python 这么方便。而且有时候你是通过.sh文件来调用开源项目。 所以，如何使用shell 命令获取 IP 地址呢？ 老版本的 Ubuntu 可以使用ifconfig命令查看当前 IP，如下图所示： 新版本的 Ubuntu 可以使用ip addr，如下图所示： 无论是哪种方法，如何把其中的 IP 地址提取出来呢？这个时候我们可以使用grep配合awk实现。大家可以试一试，如何写才能把其中的10.0.0.4。 但实际上，我们有一种更简单的方法： hostname -i 运行效果如下图所示： ...

今天教大家一个百分百封对方qq的小技巧 仅可作为测试使用，严禁违法使用！ 下面上图！ 接下来是教程时间： 第一步： 这个需要对方发违规内容 然后举报 。 对面不发我们可以发 口令红包 然后举报。 下面几个口令 举报秒封号 亲测！ 钟馗开眼 老汉推车 血满天治病 举报内容 输入下方代码 ����˲w����e�K����UɼRE��R����1��7;�U~�u�”Ѻ0�̈�h���8’9)T�ؿ`�랤wx��*Y)4au�j&��%%M��۵3�߷�NBQ8��.3���n�”��c�请立刻封号谢谢 其实最主要的封号原因是对方发送了违禁词，而非所谓的封号代码！ 对方发了违禁词，不用所谓的代码也可以的！ 加入下方QQ群获取更多代码！ ...

黑客技术——ipc$命令所使用的端口 首先我们来了解一些基础知识：1.SMB:(Server Message Block) Windows协议族，用于文件打印共享的服务；2.NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。3.在WindowsNT中SMB基于NBT实现，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。 有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：对于win2000客户端（发起端）来说：1.如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；2.如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。 对于win2000服务器端来说：1.如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放（LISTENING）；2.如果禁止NBT，那么只有445端口开放。 我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。 黑客技术——ipc管道在黑客攻击中的意义 ipc管道本来是微软为了方便管理员进行远程管理而设计的，但在入侵者看来，开放ipc管道的主机似乎更容易得手。通过ipc管道，我们可以远程调用一些系统函数（大多通过工具实现，但需要相应的权限），这往往是入侵成败的关键。如果不考虑这些，仅从传送文件这一方面，ipc管道已经给了入侵者莫大的支持，甚至已经成为了最重要的传输手段，因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大呼救命。当然，我们也不能忽视权限在ipc管道中扮演的重要角色，想必你一定品尝过空会话的尴尬，没有权限，开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限，那么ipc管道这把双刃剑将显示出它狰狞的一面。 黑客技术——ipc$连接失败的常见原因 以下是一些常见的导致ipc$连接失败的原因： 1 IPC连接是Windows NT及以上系统中特有的功能，由于其需要用到Windows NT中很多DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的； 2 如果想成功的建立一个ipc$连接，就需要响应方开启ipc$共享，即使是空连接也是这样，如果响应方关闭了ipc$共享，将不能建立连接； 3 连接发起方未启动Lanmanworkstation服务（显示名为：Workstation）：它提供网络链结和通讯，没有它发起方无法发起连接请求； 4 响应方未启动Lanmanserver服务（显示名为：Server）：它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它主机将无法响应发起方的连接请求，不过没有它仍可发起ipc$连接； 5 响应方未启动NetLogon，它支持网络上计算机 pass-through 帐户登录身份（不过这种情况好像不多）； 6 响应方的139，445端口未处于监听状态或被防火墙屏蔽； 7 连接发起方未打开139，445端口； 8 用户名或者密码错误：如果发生这样的错误，系统将给你类似于'无法更新密码'这样的错误提示（显然空会话排除这种错误）； 9 命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可； 10 如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。  另外,你也可以根据返回的错误号分析原因：  错误号5，拒绝访问：很可能你使用的用户不是管理员权限的；  错误号51，Windows无法找到网络路径：网络有问题；  错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；  错误号67，找不到网络名：你的lanmanworkstation服务未启动或者目标删除了ipc$；  错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连；  错误号1326，未知的用户名或错误密码：原因很明显了；  错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动； 错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。  黑客技术——复制文件失败的原因 有些朋友虽然成功的建立了ipc$连接，但在copy时却遇到了这样那样的麻烦，无法复制成功，那么导致复制失败的常见原因又有哪些呢？ 1.对方未开启共享文件夹 这类错误出现的最多，占到50%以上。许多朋友在ipc$连接建立成功后，甚至都不知道对方是否有共享文件夹，就进行盲目复制，结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下你想要复制的共享文件夹是否存在（用软件查看当然更好），不要认为能建立ipc$连接就一定有共享文件夹存在。 2.向默认共享复制失败 这类错误也是大家经常犯的，主要有两个小方面： 1）错误的认为能建立ipc$连接的主机就一定开启了默认共享，因而在建立完连接之后马上向c$,d$,admin$之类的默认共享复制文件，一旦对方未开启默认共享，将导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享，并不能说明默认共享一定存在。ipc$共享与默认共享是两码事，ipc$共享是一个命名管道，并不是哪个实际的文件夹，而默认共享却是实实在在的共享文件夹； 2）由于net view \\IP 这个命令无法显示默认共享文件夹（因为默认共享带$），因此通过这个命令，我们并不能判断对方是否开启了默认共享，因此如果对方未开启默认共享，那么所有向默认共享进行的操作都不能成功；（不过大部分扫描软件在扫弱口令的同时，都能扫到默认共享目录，可以避免此类错误的发生） 要点：请大家一定区分ipc共享，默认共享，普通共享这三者的区别：ipc共享是一个管道，并不是实际的共享文件夹；默认共享是安装时默认打开的文件夹；普通共享是我们自己开启的可以设置权限的共享文件夹。 3.用户权限不够，包括四种情形： 1）空连接向所有共享（默认共享和普通共享）复制时，权限是不够的； 2）向默认共享复制时，在Win2000 Pro版中，只有Administrators和Backup Operators组成员才可以，在Win2000 Server版本 Server Operatros组也可以访问到这些共享目录；  3）向普通共享复制时，要具有相应权限（即对方管理员事先设定的访问权限）； 4）对方可以通过防火墙或安全软件的设置，禁止外部访问共享； 注意： 1.不要认为administrator就一定具有管理员权限，管理员名称是可以改的。 2.管理员可以访问默认共享的文件夹，但不一定能够访问普通的共享文件夹，因为管理员可以对普通的共享文件夹进行访问权限设置，如图6，管理员为D盘设置的访问权限为仅允许名为xinxin的用户对该文件夹进行完全访问，那么此时即使你拥有管理员权限，你仍然不能访问D盘。不过有意思的是，如果此时对方又开启了D$的默认共享，那么你却可以访问D$，从而绕过了权限限制，有兴趣的朋友可以自己做测试。 4.被防火墙杀死或在局域网 还有一种情况，那就是也许你的复制操作已经成功，但当远程运行时，被防火墙杀掉了，导致找不到文件；或者你把木马复制到了局域网内的主机，导致连接失败（反向连接的木马不会发生这种情况）。如果你没有想到这种情况，你会以为是复制上出了问题，但实际你的复制操作已经成功了，只是运行时出了问题。 黑客技术——关于at命令和xp对ipc$的限制 本来还想说一下用at远程运行程序失败的原因，但考虑到at的成功率不是很高，问题也很多，在这里就不提它了（提的越多，用的人就越多），而是推荐大家用psexec.exe远程运行程序，假设想要远程机器执行本地c:\xinxin.exe文件，且管理员为administrator，密码为1234，那么输入下面的命令： psexec \\ip -u administrator -p 1234 -c c:\xinxin.exe 如果已经建立ipc连接，则-u -p这两个参数不需要，psexec.exe将自动拷贝文件到远程机器并运行。 本来xp中的ipc$也不想在这里讨论，想单独拿出来讨论，但看到越来越多的朋友很急切的提问为什么遇到xp的时候，大部分操作都很难成功。我在这里就简单提一下吧，在xp的默认安全选项中，任何远程访问仅被赋予来宾权限，也就是说即使你是用管理员帐户和密码，你所得到的权限也只是Guest，因此大部分操作都会因为权限不够而失败，而且到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了xp的管理员密码，我建议你尽量避开ipc管道。 黑客技术——如何打开目标的IPC$共享以及其他共享 目标的ipc$不是轻易就能打开的，否则就要天下打乱了。你需要一个admin权限的shell，比如telnet，木马，cmd重定向等，然后在shell下执行： net share ipc$ 开放目标的ipc$共享； net share ipc$ /del 关闭目标的ipc$共享；如果你要给它开共享文件夹，你可以用： net share xinxin=c:\ 这样就把它的c盘开为共享名为xinxin共享文件夹了。（可是我发现很多人错误的认为开共享文件夹的命令是net share c$，还大模大样的给菜鸟指指点点，真是误人子弟了）。再次声明，这些操作都是在shell下才能实现的。 黑客技术——一些需要shell才能完成的命令 看到很多教程这方面写的十分不准确，一些需要shell才能完成命令就简简单单的在ipc$连接下执行了，起了误导作用。那么下面我总结一下需要在shell才能完成的命令： 1 向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在shell下完成； 2 打开远程主机的ipc$共享，默认共享，普通共享的操作需要在shell下完成； 3 运行/关闭远程主机的服务，需要在shell下完成； 4 启动/杀掉远程主机的进程，也需要在shell下完成（用软件的情况下除外，如pskill）。 ipc$连接在实际操作过程中会出现各种各样的问题，本文就为大家总结这么多内容，如有遗漏欢迎指正。 ...

前言 渗透中面对的大部分目标除了暴露在互联网的部分，还有隐藏在内网的大量资产，这部分资产往往无法联通外网，很少暴露在攻击者面前，与此同时安全一般也没有外部资产做的全面 。如果我们从某一外部互联网入口成功进入了内网，就可以利用frp工具搭建起一个隧道，对这些资产进行测试。 项目地址 https://github.com/fatedier/frp 通过release页面下载对应系统的压缩包解压即可 基本使用介绍 服务端配置 1 2 3 4 # frps.ini [common] bind_port = 7000 token = www.baidu.com 使用如下命令开启服务器 1 frps -c frps.ini 客户端配置（socks5隧道） 配置客户端时，要注意common中的ip和端口指向服务器，token与服务器中保持一致，每个socks代理，需要单独起plugin_name，并使用不同的remote_port。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 [common] server_addr = x.x.x.x server_port = 7000 tls_enable = true token = www.baidu.com pool_count = 5 protocol = tcp #协议类型 health_check_type = tcp health_check_interval_s = 100 [socks-001] type = tcp remote_port = 6666 #代理的端口 plugin = socks5 #使用的协议 plugin_user = admin plugin_passwd = www.baidu.com use_encryption = true #是否加密 use_compression = true 使用如下命令开启客户端 1 2 3 4 普通模式： frpc -c frpc.ini 后台无回显模式： nohup frpc -c frpc.ini & 此时在proxyfire等代理工具中配置: ip为server_ip port为remote_port 用户为plugin_user 密码为plugin_passwd 即可将客户端网络作为代理出口使用 客户端配置（web转发） 1 2 3 4 5 6 7 8 9 # frpc.ini [common] server_addr = x.x.x.x server_port = 7000 token = www.baidu.com [web] type = http local_port = 8080 custom_domains = www.yourdomain.com 客户端配置（ssh转发） 1 2 3 4 5 6 7 8 9 10 # frpc.ini [common] server_addr = x.x.x.x server_port = 7000 token = www.baidu.com [ssh] type = tcp local_ip = 127.0.0.1 local_port = 22 remote_port = 6000 ...

网站被挂黑链，通常就是黑客利用网站程序或者是语言脚本解释的漏洞上传一些可以直接对站点文件进行修改的脚本木马，然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改，比如加入一段广告代码，通常是iframe或者script。 Kirin博客这里介绍一下检查网站的几种方法： 1、经常查看网站的源代码，一般情况下，黑链被挂在首页的最多，或许某些出售黑链的也会有喜欢挂在网站内页的喜好，这样可以稍微加深一点难度吧，楼主需要经常查看网站的源代码，点击网站文字位置，右键，有一个“查看源文件”的选项，点开即可查看。如果你自己的网站设置了禁止右键，可以通过下载一些比较好用的浏览器，来查看网站源代码。   2、巧用站长工具里的“网站死链检测”功能,站长工具里的“网站死链检测”功能可以查看到网站页面的所有链接，这个工具即可以查看你网站里面的链接可否访问，也可以显示出网站页面里所有的链接，当你发现有未知名的链接时，马上采取相关措施，删除此链接，有可能是黑链。   3、使用FTP工具查看网站文件的修改时间，每个网站文件都有自己的修改时间，要是没修改时间，系统会按照文件的创建时间来显示，假如说你现在这个网站的上传时间是6月27日，通过FTP工具查看了一下，大部分文件都是6月27日的，突然看到某个文件的修改时间变成了与现在相近的时间(如6月28日)，那么你的这个文件就有可能已经被人家动了手脚，被修改了文件源代码，挂了黑链，现在你最好是把这个文件下载到本地，详细查看一下文件源代码里有没有挂黑链的痕迹。当然，检查的时候，如果你是asp+access站点，看到你的数据库文件的修改时间也与现在相近，你对它基本可以忽略不计吧，譬如说你的网站文章里有统计文章点击次数的，访客浏览一次网站文章，即会写入数据库，自然也就会修改了数据库修改时间了。   4、巧用站长工具里的“同IP站点查询”功能，通过这个工具，你可以查询到跟你网站在同一服务器的部分网站，如果你自己的网站被挂黑链了，那么你在查一下同一服务器的其它网站，当你查到其他的某个网站也有被挂黑链的时候，这时候我们就可以怀疑到服务器安全的问题了，而不是自己网站程序的漏洞问题，现在要做的事，就是马上联系服务商，让他详细做一下服务器安全策略。 5，查看同一服务器下，其他网站是否有黑链，当查到其他的某个网站也有被挂黑链的时候，这时有可能是服务器的安全出了问题，排除自身网站漏洞的情况下，要做的就是马上联系服务商，让他详细做一下服务器安全策略。 ...

本次带来的是代刷网特殊的美化修改，可能你也在一些代刷网上面看到过这个美化，很多小伙伴想要却苦苦不能获得，所以这个分享给大家，本来彩虹代刷网不带有这个功能的，我给他加上去能够更好的提示客户选择商品。如下图： 效果为打开网站或者选择分类的时侯会自动提示请选择商品哦~并且0.5秒后会自动关闭，对用户体验非常友好！ 这个教程需要用到修改代刷网源码，源码不再自己手上就不要购买了，否则也不能修改。但是修改方法很简单的！ 教程开始： 打开根目录assets / js / main.js 文件找到如下图的位置，使用ctrl+f 搜索文字可快速找到，然后添加这一行代码到下图的位置即可！ else layer.msg('请选择商品哦~', {icon: 1, time: 1500}); ...

平时在使用宝塔面板的时候，安装完PHP后可能会再去安装一些PHP拓展，但会出现这种情况：显示安装成功，但是扩展列表里还是显示未安装。   比如说安装fileinfo，memcached，exif等。   这中情况多半是编译环境有问题，比如说安装 exif 时，可能就是服务器编译器的问题，我们可以先试试下面的代码先安装编译需要的环境（ubuntu或debian请自行更改为apt-get） yum -y install gcc-c++ yum -y install glibc-headers yum -y install m4 yum -y install autoconf 如以上方法无法解决，可尝试卸载PHP，进入服务器ssh输入bt然后选择修复面板程序，随后再重装PHP进行安装（最好使用编译安装） 教程仅供参考，如均无法解决，请自行前往论坛发帖求助官方人员 ...

有时候，我们想实现一个非常简单的定时功能，例如：让一个程序每天早上 8 点调用某个函数 但我们又不想安装任何第三方库，也不会使用 crontab 或者任务计划功能，就想使用纯 Python 来实现 可能有同学会这样写代码： import time import datetime def run():     print('我是需要被每天调用的函数') def schedule():     target_time = datetime.time(8, 0, 0)     today = datetime.date.today()     target_date = today + datetime.timedelta(days=1)     target_datetime = datetime.datetime.combine(target_date, target_time)     now = datetime.datetime.now()     delta = (target_datetime - now).total_seconds()     time.sleep(delta)     run()     while True:         time.sleep(24 * 3600)         run() if __name__ == '__main__':     schedule() 这段程序，首先计算出现在距离明天早上 8 点相差的秒数；睡眠这么多秒以后，第一次运行目标函数，然后进入一个死循环，每隔 86400 秒，程序调用一次 run 函数 这个程序初看起来，似乎没有什么问题 但如果你每天观察它的运行时间，你会发现随着时间的推移，时间会越来越不准确 这是因为，run 函数不是一瞬间就运行完成的。它运行也会消耗时间 假设程序第一次运行 run 函数的时候，确实刚刚好是 8:00，run 函数运行了 2秒；那么，程序睡眠 86400 秒以后，时间实际上是 8:00:02.从第二天开始，每天晚 2 秒钟。一个月就会晚一分钟 但实际上，我们如果付出一点点微不足道的代价，我们就可以防止这种误差的发生，并且程序代码会变得更简单： import time import datetime def run():     print('我是需要被每天调用的函数') def schedule():     last_run = None     while True:         now = datetime.datetime.now()         if now.strftime('%H:%M') == '08:00' and last_run != now.date():             run()             last_run = now.date()         time.sleep(1) if __name__ == '__main__':     schedule() 程序在一个死循环中，每秒做一次检查，如果当前的时分正好是 08:00，并且上一次运行不是今天，那么就调用 run 函数，并把上一次运行的时间设置为今天。否则，就睡眠 1 秒钟 这样做，相当于每秒都会校对时间，从而避免了长时间运行导致的时间误差。虽然看起来这个死循环会非常消耗 CPU，但只要你算一下，实际上它只不过每天循环 86400 次而已。这个次数并不多 但无论如何，专业的事情应该交由专业的工具来做；time.sleep 用来设置周期性的时间间隔可以，但它实际上不适合用来做定时任务 因为一个支持定时任务的库，例如：Python 的schedule或者APScheduler，他们在确保定时时间准确上，做了很多工作。还有一些库甚至用到了时间轮这样的数据结构来确保时间的准确性。这不是我们简单用两三行 Python 代码就能完成的。 总结 如果能用 crontab 或者任务计划，那么这是最优选择；其次，使用 Python 专用的定时模块；最次，才是使用 time.sleep 来实现 如果不得不用 time.sleep，那么应该尽量缩短检查的间隔，避免长时间睡眠 ...

废话不多说 直接进入正题 鼠标双击打开微信的同时，疯狂按 回车 亲测成功...

电报（telegram）是通信业务的一种，是最早使用电进行通信的方法。它利用电流(有线)或电磁波(无线)作载体，通过编码和相应的电处理技术实现人类远距离传输与交换信息的通信方式。电报大为加快了消息的流通，是工业社会的其中一项重要发明。早期的电报只能在陆地上通讯，后来使用了海底电缆，开展了越洋服务。到了20世纪初，开始使用无线电拍发电报，电报业务基本上已能抵达地球上大部份地区。电报主要是用作传递文字讯息，使用电报技术用作传送图片称为传真。 使用教程： 安装最新版TG，设置里的语言是没中文的，还需要自行设置。去点一下下面的官方链接，自动设置语言，设置里的语言选项也会有中文选项。具体操作：复制官方相应地址，到TG里的一个聊天窗口，然后点一下链接就自动设置好了。 官方设置链接: 英文：tg://setlanguage?lang=en 简体中文：tg://setlanguage?lang=zh-hans-raw  繁体中文：tg://setlanguage?lang=zh-hant-raw...

主机记录选择或填写 * 记录值就是填主机控制面板写的地址 记录类型：CNAME 线路类型和TTL默认就行 （如下图所示） 绑定域名格式 *.域名 （注意*后面有个 “.”） 这样就乏解析就完成绑定和解析了，代刷网也就支持开通分站了哦！ ...

Python 目前得到了众多程序员的喜爱，但是还是遭到一些人的诟病，原由之一就是认为它运行缓慢。 其实某个特定程序（无论使用何种编程语言）的运行速度是快还是慢，在很大程度上取决于编写该程序的开发人员自身素质，以及他们编写优化而高效代码的能力。 Medium 上一位小哥就详细讲了讲如何让 Python 提速 30%，以此证明代码跑得慢不是 Python的问题，而是代码本身的问题。 01时序分析 在开始进行任何优化之前，我们首先需要找出代码的哪些部分使整个程序变慢。有时程序的问题很明显，但是如果你一时不知道问题出在哪里，那么这里有一些可能的选项： 注意：这是我将用于演示的程序，它将进行指数计算 # slow_program.py from decimal import * def exp(x):     getcontext().prec += 2     i, lasts, s, fact, num = 0, 0, 1, 1, 1     while s != lasts:         lasts = s         i += 1         fact *= i         num *= x         s += num / fact     getcontext().prec -= 2     return +s exp(Decimal(150)) exp(Decimal(400)) exp(Decimal(3000)) 最简约的“配置文件” 首先，最简单最偷懒的方法——Unix时间命令。 ~ $ time python3.8 slow_program.py real  0m11,058s user 0m11,050s sys 0m0,008s 如果你只能知道整个程序的运行时间，这样就够了，但通常这还远远不够。 最详细的分析 另外一个指令是cProfile，但是它提供的信息过于详细了。 ~ $ python3.8 -m cProfile -s time slow_program.py          1297 function calls (1272 primitive calls) in 11.081 seconds    Ordered by: internal time    ncalls tottime percall cumtime percall filename:lineno(function)         3   11.079    3.693   11.079    3.693 slow_program.py:4(exp)         1    0.000    0.000    0.002    0.002 {built-in method _imp.create_dynamic}       4/1    0.000    0.000   11.081   11.081 {built-in method builtins.exec}         6    0.000    0.000    0.000    0.000 {built-in method __new__ of type object at 0x9d12c0}         6    0.000    0.000    0.000    0.000 abc.py:132(__new__)        23    0.000    0.000    0.000    0.000 _weakrefset.py:36(__init__)       245    0.000    0.000    0.000    0.000 {built-in method builtins.getattr}         2    0.000    0.000    0.000    0.000 {built-in method marshal.loads}        10    0.000    0.000    0.000    0.000 <frozen importlib._bootstrap_external>:1233(find_spec)       8/4    0.000    0.000    0.000    0.000 abc.py:196(__subclasscheck__)        15    0.000    0.000    0.000    0.000 {built-in method posix.stat}         6    0.000    0.000    0.000    0.000 {built-in method builtins.__build_class__}         1    0.000    0.000    0.000    0.000 __init__.py:357(namedtuple)        48    0.000    0.000    0.000    0.000 <frozen importlib._bootstrap_external>:57(_path_join)        48    0.000    0.000    0.000    0.000 <frozen importlib._bootstrap_external>:59(<listcomp>)         1    0.000    0.000   11.081   11.081 slow_program.py:1(<module>) 在这里，我们使用cProfile模块和time参数运行测试脚本，以便按内部时间（cumtime）对行进行排序。这给了我们很多信息，你在上面看到的行大约是实际输出的10％。由此可见，exp函数是罪魁祸首，现在我们可以更详细地了解时序和性能分析。 时序特定功能 现在我们知道了应当主要关注哪里，我们可能想对运行速度缓慢的函数计时，而不用测量其余的代码。为此，我们可以使用一个简单的装饰器： def timeit_wrapper(func):     @wraps(func)     def wrapper(*args, **kwargs):         start = time.perf_counter() # Alternatively, you can use time.process_time()         func_return_val = func(*args, **kwargs)         end = time.perf_counter()         print('{0:<10}.{1:<8} : {2:<8}'.format(func.__module__, func.__name__, end - start))         return func_return_val     return wrapper 然后可以将此装饰器应用于待测功能，如下所示： @timeit_wrapper def exp(x):     ... print('{0:<10} {1:<8} {2:^8}'.format('module', 'function', 'time')) exp(Decimal(150)) exp(Decimal(400)) exp(Decimal(3000)) 这给出我们如下输出： ~ $ python3.8 slow_program.py module function   time   __main__ .exp      : 0.003267502994276583 __main__ .exp      : 0.038535295985639095 __main__ .exp      : 11.728486061969306 需要考虑的一件事是我们实际想要测量的时间。时间包提供time.perf_counter和time.process_time两个函数。他们的区别在于perf_counter返回的绝对值，包括你的Python程序进程未运行时的时间，因此它可能会受到计算机负载的影响。另一方面，process_time仅返回用户时间（不包括系统时间），这仅是你的过程时间。 02加速吧！ 让Python程序运行得更快，这部分会很有趣！我不会展示可以解决你的性能问题的技巧和代码，更多地是关于构想和策略的，这些构想和策略在使用时可能会对性能产生巨大影响，在某些情况下，可以将速度提高30％。 使用内置数据类型 这一点很明显。内置数据类型非常快，尤其是与我们的自定义类型（例如树或链接列表）相比。这主要是因为内置程序是用C实现的，因此在使用Python进行编码时我们的速度实在无法与之匹敌。 使用lru_cache缓存/记忆 我已经在上一篇博客中展示了此内容，但我认为值得用简单的示例来重复它： import functools import time # caching up to 12 different results @functools.lru_cache(maxsize=12) def slow_func(x):     time.sleep(2) # Simulate long computation     return x slow_func(1) # ... waiting for 2 sec before getting result slow_func(1) # already cached - result returned instantaneously! slow_func(3) # ... waiting for 2 sec before getting result 上面的函数使用time.sleep模拟大量计算。第一次使用参数1调用时，它将等待2秒钟，然后才返回结果。再次调用时，结果已经被缓存，因此它将跳过函数的主体并立即返回结果。有关更多实际示例，请参见以前的博客文章。 使用局部变量 这与在每个作用域中查找变量的速度有关，因为它不只是使用局部变量还是全局变量。实际上，即使在函数的局部变量（最快），类级属性（例如self.name——较慢）和全局（例如，导入的函数）如time.time（最慢）之间，查找速度实际上也有所不同。 你可以通过使用看似不必要的分配来提高性能，如下所示： # Example #1 class FastClass:     def do_stuff(self):         temp = self.value # this speeds up lookup in loop         for i in range(10000):             ... # Do something with `temp` here # Example #2 import random def fast_function():     r = random.random     for i in range(10000):         print(r()) # calling `r()` here, is faster than global random.random() 使用函数 这似乎违反直觉，因为调用函数会将更多的东西放到堆栈上，并从函数返回中产生开销，但这与上一点有关。如果仅将整个代码放在一个文件中而不将其放入函数中，则由于全局变量，它的运行速度会慢得多。因此，你可以通过将整个代码包装在main函数中并调用一次来加速代码，如下所示： def main():     ... # All your previously global code main() 不访问属性 可能会使你的程序变慢的另一件事是点运算符（.），它在获得对象属性时被使用。此运算符使用__getattribute__触发字典查找，这会在代码中产生额外的开销。那么，我们如何才能真正避免（限制）使用它呢？ # Slow: import re def slow_func():     for i in range(10000):         re.findall(regex, line) # Slow! # Fast: from re import findall def fast_func():     for i in range(10000):         findall(regex, line) # Faster! 当心字符串 使用模数（％s）或.format（）进行循环运行时，字符串操作可能会变得非常慢。我们有什么更好的选择？根据雷蒙德·海廷格（Raymond Hettinger）最近的推特，我们唯一应该使用的是f-string，它是最易读，最简洁且最快的方法。根据该推特，这是你可以使用的方法列表——最快到最慢： f'{s} {t}'  # Fast! s + ' ' + t ' '.join((s, t)) '%s %s' % (s, t) '{} {}'.format(s, t) Template('$s $t').substitute(s=s, t=t) # Slow! 生成器本质上并没有更快，因为它们被允许进行延迟计算，从而节省了内存而不是时间。但是，保存的内存可能会导致你的程序实际运行得更快。这是怎么做到的？如果你有一个很大的数据集，而没有使用生成器（迭代器），那么数据可能会溢出CPU L1缓存，这将大大减慢内存中值的查找速度。 在性能方面，非常重要的一点是CPU可以将正在处理的所有数据尽可能地保存在缓存中。你可以观看Raymond Hettingers的视频，他在其中提到了这些问题。 03结论 优化的首要规则是不要优化。但是，如果确实需要，那么我希望上面这些技巧可以帮助你。但是，在优化代码时要小心，因为它可能最终使你的代码难以阅读，因此难以维护，这可能超过优化的好处。 ...

渗透中面对的大部分目标除了暴露在互联网的部分，还有隐藏在内网的大量资产，这部分资产往往无法联通外网，很少暴露在攻击者面前，与此同时安全一般也没有外部资产做的全面 。如果我们从某一外部互联网入口成功进入了内网，就可以利用frp工具搭建起一个隧道，对这些资产进行测试。 项目地址 https://github.com/fatedier/frp 通过release页面下载对应系统的压缩包解压即可 基本使用介绍 服务端配置 1 2 3 4 # frps.ini [common] bind_port = 7000 token = www.baidu.com 使用如下命令开启服务器 1 frps -c frps.ini 客户端配置（socks5隧道） 配置客户端时，要注意common中的ip和端口指向服务器，token与服务器中保持一致，每个socks代理，需要单独起plugin_name，并使用不同的remote_port。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 [common] server_addr = x.x.x.x server_port = 7000 tls_enable = true token = www.baidu.com pool_count = 5 protocol = tcp #协议类型 health_check_type = tcp health_check_interval_s = 100 [socks-001] type = tcp remote_port = 6666 #代理的端口 plugin = socks5 #使用的协议 plugin_user = admin plugin_passwd = www.baidu.com use_encryption = true #是否加密 use_compression = true 使用如下命令开启客户端 1 2 3 4 普通模式： frpc -c frpc.ini 后台无回显模式： nohup frpc -c frpc.ini & 此时在proxyfire等代理工具中配置: ip为server_ip port为remote_port 用户为plugin_user 密码为plugin_passwd 即可将客户端网络作为代理出口使用 客户端配置（web转发） 1 2 3 4 5 6 7 8 9 # frpc.ini [common] server_addr = x.x.x.x server_port = 7000 token = www.baidu.com [web] type = http local_port = 8080 custom_domains = www.yourdomain.com 客户端配置（ssh转发） 1 2 3 4 5 6 7 8 9 10 # frpc.ini [common] server_addr = x.x.x.x server_port = 7000 token = www.baidu.com [ssh] type = tcp local_ip = 127.0.0.1 local_port = 22 remote_port = 6000 ...

前言 在系统被入侵后，需要迅速梳理出黑客的攻击路径，本文总结windows系统攻击溯源过程中必要的排查范围。 排查项目 用户 查看当前登录用户 1 query user 查看系统中所有用户 1 2 3 1. net user 2. 开始-运行-lusrmgr.msc 3.查看C:\Users目录排查是否新建用户目录，如果存在则排查对应用户的download和desktop目录是否有可疑文件 查看是否存在隐藏账号，克隆账号 1 2 开始-运行-regedit 查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常 启动项 注册表查看启动项 1 2 3 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 命令行查看启动项 1 wmic startup list full 组策略中查看启动 1 运行-gpedit.msc Recent目录 此目录可以看到程序或文件最后被打开和使用的日期时间。 1 C:\Users\Administrator\Recent windows日志 安全日志 计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc) 根据时间排查安全日志里的登录事件，用户创建等事件情况 着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式 windows安全日志文件：C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右，若远远小于20M则有可能被清理过 系统日志 计算机-管理-事件查看器-windows日志-系统 查看恶意进程的运行状态时间等 排查可疑进程 查看可疑网络连接 1 netstat -b -n 根据网络连接寻找pid 1 netstat -ano | findstr xxx 根据pid寻找进程 1 tasklist | findstr xxx 杀死可疑进程 1 taskkill /T /F /PID xxxx 排查计划任务 1 2 3 schtasks /query /fo table /v 运行-taskschd.msc 排查系统服务 1 运行-service.msc 工具使用 PECmd 使用PECmd导出最近活动项目 LastActivityView 使用LastActivityView图形化工具查看最近活动项目 ...