来自 数据 2021-04-04 10:48 的文章

ddos解决_未备案_cdn国外高防

ddos解决_未备案_cdn国外高防

我的第一个Powershell脚本我编写的第一个PowerShell脚本(见下文)是在vontera感染后从"不受信任"注册表项中删除证书的快速修复方法。在一些初始命令之后,这个脚本基本上会对不属于某个密钥的每个证书进行循环。$path="HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates\C1437F2BC6F11…"$acl=获取acl$路径$rule=新对象系统安全访问控制.RegistryAccessRule("Everyone","FullControl","Allow")$acl.SetAccessRule($规则)$acl |设置acl-路径$Path删除项目–路径$Path它的作用是:定义键的路径设置该密钥的权限取下钥匙当前的挑战我遇到的问题是查找作为证书注册表项的十六进制值。我不得不在感染前和感染后拍摄注册表快照,以找出添加了哪些快照。了解感染前的证书并不是那么困难。决定要保存什么信息以及如何存储这些信息就不那么简单了。我最后得到了这个命令,我将详细解释这是一次学习经验:Get ChildItem-Path cert:\currentuser\disallowed-Recurse |选择指纹,FriendlyName,运营商怎么防御DDOS,Subject |转换为Html |设置内容c:\users\public\desktop\证书.htmlcert:驱动器由Windows PowerShell证书提供程序提供,企业安全防护,使用Get-ChildItem cmdlet可以从中获取证书存储位置、证书存储和证书。他们选择了"不允许"的路径,服务器ddos防御公司,因为已知一些恶意软件样本会阻止某些安全程序的下载和操作。当然,你可以把它改成你可能感兴趣的任何其他可能性。"Recurse"参数允许我搜索"path"的子目录。我想查看每个证书的这些属性:指纹,因为这是注册表项的名称FriendlyName,因为它显示了证书不受信任的原因(这有时很有用)主题,因为它保存了我们在certmgr中可以看到的人类可读信息命令的最后两位是为输出准备输出和定义导出位置所必需的。我选择公共桌面,这样每个人都可以复制命令,而不必根据自己的情况进行更改。我决定给我一个很好的HTML。所以,拍快照是一回事。现在,我们要比较感染前后的证书集。幸运的是,有一个明显的选择,那就是compare-object cmdlet。点击放大为了将新的证书集与旧的快照进行比较,出于实际原因,我稍微修改了前面的命令。下面是将其导出到文本文件的命令:Get ChildItem-Path cert:\currentuser\disallowed-Recurse |选择指纹,FriendlyName,Subject |设置内容c:\users\public\desktop\证书.txt在对文本文件进行比较时,免费cc防御,我做了一些更改,防御cc及ddos等各种攻击,以避免在表中获取表。为了进行比较,在本例中,我使用了我们检测到的恶意软件文件的证书滴管部分特洛伊木马.Wdfload. Wdfload是一种将bitcoinminer与一个模块相结合的感染,该模块通过更改主机文件并删除不受信任类别中的证书来禁用反恶意软件的下载和使用。在运行上述命令之后,在感染之前和之后,我还重命名了相应的文件,在文件名之前和之后添加。并使用此命令获取另一个易于读取的输出文件。比较对象(获取内容c:\users\public\desktop\证书之前.txt)(获取内容c:\users\public\desktop\证书After.txt)|转换为Html |设置内容c:\users\public\desktop\比较.html让我们再看看上面的图片。SideIndicator列由compare-object cmdlet添加。它显示在比较的哪一边,这条线与另一边相比是多余的。在这种情况下,箭头指示是添加了证书(=>)还是删除了证书(