2020年黑客首选10大Windows网络攻击技术 (2020年黑圣手字谜)

Red Canary近期公布了《2021 Threat Detection Report》，该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中，就2020年黑客首选10大windows网络攻击技术进行了调研。

1、24%:命令行解释器PowerShell

利用PowerShell和Windows Command Shell的攻击对受害者影响最大。由于这些工具是Windows固有的，也被称为离地攻击，也就是说攻击者不需要下载专用工具，而是使用已安装的现有PowerShell就能够将恶意活动隐藏在合法进程中。

企业需要使用工具确保捕获日志记录，从而监测这一攻击活动。此外，由于分析正常的PowerShell 和恶意PowerShell需要一定时间，最好对于经常使用的脚本和PowerShell进程建立一个基准，帮助过滤，从而发现可疑的CMD.exe和混淆命令。

2、19%：签名的二进制进程执行

排名第二的攻击使用2种技术：Rundll32和Mshta。两者都允许攻击者通过受信任的签名二进制文件创建恶意代码。同样，攻击者使用的是离地攻击。

对此，建议企业可以为恶意使用的Rundll32设置警报，并且同样建立一个基线。

3、16%：创建和修改系统流程

Blue Mockingbird，这是利用Windows服务的单一威胁。主要部署加密货币挖掘有效载荷。当试图创建新的服务和新的进程时，建议查看日志中的事件4697、7045和4688。

4、16%：计划任务

报告指出，攻击者使用计划任务来建立持久性。企业应该检查计划任务是否被设置为以系统身份运行，因为这是最典型的攻击配置。此外，还有核查事件ID 106和140记录何时创建或更新任务。

5、7%：凭证转储

在诸如ProcDump和Mimikatz之类的工具的帮助下，本地安全授权子系统服务(LSASS)经常被用来转储密码。因此，企业在建立查找异常攻击的基线后，建议使用Windows 10 Attack Surface Reduction设置来查找LSASS可疑访问。

6、7%：进程注入

攻击者往往使用多种注入方法来获得对系统的更多访问权限，目前进程注入的方式非常多样。

7、6%：文件或信息混淆

在攻击者希望隐藏其行动时，会使用诸如Base64编码之类的工具隐藏其攻击过程。企业需要监控PowerShell.exe或Cmd.exe是否被“不寻常方式”地使用，但因为恶意活动看起来与正常的管理任务非常相似，导致这种攻击可能很难审查。建议设置使用PowerShell的政策，并且只使用签名的脚本执行。

8、5%：工具转移

虽然大多数攻击是离地攻击，但有时候攻击者也会将工具转移到平台上，他们使用bitsadmin.exe转移攻击工具，而查看PowerShell命令行中的关键字和模式是找到攻击序列的关键方法。

9、4%：系统服务

攻击者使用Windows Service Manager运行命令或安装服务。

10、4%：重命名伪装

攻击者通过重命名系统工具程序来绕过控件和检测。为此，建议不是直接查找文件名而是查找进程，从而确定攻击者是否正试图使用此技术进行攻击。如果可以，请使用可以比较文件哈希值的系统，这样即使文件名更改，哈希值也不会偏离。

ping这个命令怎么用，它的作用是什么呢？

ping命令的作用- - Ping是潜水艇人员的专用术语，表示回应的声纳脉冲，在网络中Ping 是一个十分好用的TCP/IP工具。 它主要的功能是用来检测网络的连通情况和分析网络速度。 Ping有好的善的一面也有恶的一面。 先说一下善的一面吧。 上面已经说过Ping的用途就是用来检测网络的连同情况和分析网络速度，但它是通过什么来显示连通呢？这首先要了解Ping的一些参数和返回信息。 以下是PING的一些参数： ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] | [-k computer-list] [-w timeout] destination-list -t Ping 指定的计算机直到中断。 -a 将地址解析为计算机名。 -n count 发送 count 指定的 ECHO 数据包数。 默认值为 4。 -l length 发送包含由 length 指定的数据量的 ECHO 数据包。 默认为 32 字节；最大值是65,527。 -f 在数据包中发送不要分段标志。 数据包就不会被路由上的网关分段。 -i ttl 将生存时间字段设置为 ttl 指定的值。 -v tos 将服务类型字段设置为 tos 指定的值。 -r count 在记录路由字段中记录传出和返回数据包的路由。 count 可以指定最少 1 台，最多 9 台计算机。 -s count 指定 count 指定的跃点数的时间戳。 -j computer-list 利用 computer-list 指定的计算机列表路由数据包。 连续计算机可以被中间网关分隔（路由稀疏源）IP 允许的最大数量为 9。 -k computer-list 利用 computer-list 指定的计算机列表路由数据包。 连续计算机不能被中间网关分隔（路由严格源）IP 允许的最大数量为 9。 -w timeout 指定超时间隔，单位为毫秒。 destination-list 指定要 ping 的远程计算机。 Ping的返回信息有Request Timed Out、Destination Net Unreachable和Bad IP address还有Source quench received。 Request Timed Out这个信息表示对方主机可以到达到TIME OUT，这种情况通常是为对方拒绝接收你发给它的数据包造成数据包丢失。 大多数的原因可能是对方装有防火墙或已下线。 Destination Net Unreachable这个信息表示对方主机不存在或者没有跟对方建立连接。 这里要说明一下destination host unreachable和time out的区别，如果所经过的路由器的路由表中具有到达目标的路由，而目标因为其它原因不可到达，这时候会出现time out，如果路由表中连到达目标的路由都没有，那就会出现destination host unreachable。 Bad IP address 这个信息表示你可能没有连接到DNS服务器所以无法解析这个IP地址，也可能是IP地址不存在。 Source quench received信息比较特殊，它出现的机率很少。 它表示对方或中途的服务器繁忙无法回应。 怎样使用Ping这命令来测试网络连通呢？ 连通问题是由许多原因引起的，如本地配置错误、远程主机协议失效等，当然还包括设备等造成的故障。 首先我们讲一下使用Ping命令的步骤。 使用Ping检查连通性有五个步骤： 1. 使用ipconfig /all观察本地网络设置是否正确； 2. Ping 127.0.0.1，127.0.0.1 回送地址Ping回送地址是为了检查本地的TCP/IP协议有没有设置好； 3. Ping本机IP地址，这样是为了检查本机的IP地址是否设置有误； 4. Ping本网网关或本网IP地址，这样的是为了检查硬件设备是否有问题，也可以检查本机与本地网络连接是否正常；（在非局域网中这一步骤可以忽略） 5. Ping远程IP地址，这主要是检查本网或本机与外部的连接是否正常。 在检查网络连通的过程中可能出现一些错误，这些错误总的来说分为两种最常见。 1. Request Timed Out request time out这提示除了在《PING（一）》提到的对方可能装有防火墙或已关机以外，还有就是本机的IP不正确和网关设置错误。 ①、IP不正确： IP不正确主要是IP地址设置错误或IP地址冲突，这可以利用ipconfig /all这命令来检查。 在WIN2000下IP冲突的情况很少发生，因为系统会自动检测在网络中是否有相同的IP地址并提醒你是否设置正确。 在NT中不但会出现request time out这提示而且会出现Hardware error这提示信息比较特殊不要给它的提示所迷惑。 ②、网关设置错误：这个错误可能会在第四个步骤出现。 网关设置错误主要是网关地址设置不正确或网关没有帮你转发数据，还有就是可能远程网关失效。 这里主要是在你Ping外部网络地址时出错。 错误表现为无法Ping外部主机返回信息Request timeout。 2. Destination Host Unreachable 当你在开始PING网络计算机时如果网络设备出错它返回信息会提示destination host unreachable。 如果局域网中使用DHCP分配IP时，而碰巧DHCP失效，这时使用 PING命令就会产生此错误。 因为在DHCP失效时客户机无法分配到IP系统只有自设IP，它往往会设为不同子网的IP。 所以会出现Destination Host Unreachable。 另外子网掩码设置错误也会出现这错误。 还有一个比较特殊就是路由返回错误信息，它一般都会在Destination Host Unreachable前加上IP地址说明哪个路由不能到达目标主机。 这说明你的机器与外部网络连接没有问题，但与某台主机连接存在问题。 举个例子吧。 我管理的网络有19台机，由一台100M集线器连接服务器，使用DHCP动态分配IP地址。 有一次有位同事匆忙地告诉我我的OUTLOOK打不开了，我到他机器检查，首先我检查了本地网络设置，我用ipconfig /all看IP分配情况一切正常。 接着我就开始PING网络中的其中一台机器，第一次PING结果很正常，但OUTLOOK还是无法使用其它网络软件和Copy网络文件都可以使用但网络速度很慢，第二次PING我用了一个参数-t（-t可以不中断地PING对方，当时我想PING一次可能发现不了问题）发现有time=30ms和request time out，从服务器PING这台机就更有趣，request time out比正常数据还多，在局域中竟然有time=30ms和request time out太不正常了。 开始我认为是网卡的问题但换网卡后故障依旧，重做网线还是不能解决问题，这故障真有趣！最后我没办法了把它插在集线器端口上的另一端的网线换到另一个端口，哈！故障解决了。 原来是集线器端口坏了。 如何用Ping命令来判断一条链路的速度？ Ping这个命令除了可以检查网络的连通和检测故障以外，还有一个比较有趣的用途，那就是可以利用它的一些返回数据，来估算你跟某台主机之间的速度是多少字节每秒 我们先来看看它有那些返回数据。 Pinging 202.105.136.105 with 32 bytes of data: Reply from 202.105.136.105: bytes=32 time=590ms TTL=114 Reply from 202.105.136.105: bytes=32 time=590ms TTL=114 Reply from 202.105.136.105: bytes=32 time=590ms TTL=114 Reply from 202.105.136.105: bytes=32 time=601ms TTL=114 Ping statistics for 202.105.136.105: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 590ms, Maximum = 601ms, Average = 593ms 在例子中bytes=32表示ICMP报文中有32个字节的测试数据（这是估算速度的关键数据），time=590ms是往返时间。 怎样估算链路的速度呢？举个例子吧。 我们把A和B之间设置为PPP链路。 从上面的PING例子可以注意到，默认情况下发送的ICMP报文有32个字节。 除了这32个字节外再加上20个字节的IP首部和8个字节的ICMP首部，整个IP数据报文的总长度就是60个字节（因为IP和ICMP是Ping命令的主要使用协议，所以整个数据报文要加上它们）。 另外在使用Ping命令时还使用了另一个协议进行传输，那就是PPP协议（点对点协议），所以在数据的开始和结尾再加上8个字节。 在传输过程中，由于每个字节含有8bit数据、1bit起始位和1bit结束位，因此传输速率是每个字节2.98ms。 由此我们可以估计需要405ms。 即68*2.98*2（乘2是因为我们还要计算它的往返时间）。 我们来测试一下 b/s的链路： Pinging 202.105.36.125 with 32 bytes of data: Reply from 202.105.36.125: bytes=32 time=415ms TTL=114 Reply from 202.105.36.125: bytes=32 time=415ms TTL=114 Reply from 202.105.36.125: bytes=32 time=415ms TTL=114 Reply from 202.105.36.125: bytes=32 time=421ms TTL=114 Ping statistics for 202.105.36.125: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 415ms, Maximum = 421ms, Average = 417ms 看是不是差不多啊。 ^_^ 这里大家可能要注意到，这估算值跟实际值是有误差的，为什么呢？因为我们现在估算的是一个理论值，还有一些东西我们没有考虑。 比如在网络中的其它干扰，这些干扰主要来之别的计算机。 因为在你测试时不可能全部计算机停止使用网络给你做测试，这是不实际的。 另外就是传输设备，因为有某些设备如MODEM它在传输时会把数据压缩后再发送，这大大减少了传输时间。 这些东西产生的误差我们是不能避免的，但其数值大约在5%以内我们都可以接受（利用MODEM传输例外），但是可以减少误差的产生。 比如把MODEM的压缩功能关闭和在网络没有那么繁忙时进行测试。 有时候误差是无须消除的。 因为我们需要这些误差跟所求得的理论值进行比较分析，从而找出网络的缺陷而进行优化。 这时测试网络的所有数据包括误差都会成为我们优化的依据。 还要注意，这种算法在局域网并不适用，因为在局域网中速度非常的快几乎少于1ms，而Ping的最小时间分辨率是1ms，所以根本无法用Ping命令来检测速度。 如果想测试速度那就要用专门仪器来检测。 总的来说，Ping命令是一个在故障检查方面很有用而且很便利的工具，你不应该忽视它的存在。

黑客常用的攻击方式是哪些？

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。 非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。 下面为大家介绍4种黑客常用的攻击手段（小编注：密码破解当然也是黑客常用的攻击手段之一）。 后门程序由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。 在程序开发阶段，后门便于测试、更改和增强模块功能。 正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因（如将其留在程序中，便于日后访问、测试或维护）后门没有去掉，一些别有用心的人会利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。 信息炸弹信息炸弹是指使用一些特殊工具软件，短时间内向目标服务器发送大量超出系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。 比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包，会导致目标系统死机或重启；向某型号的路由器发送特定数据包致使路由器死机；向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。 目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。 拒绝服务又叫分布式D.O.S攻击，它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源，最后致使网络服务瘫痪的一种攻击手段。 作为攻击者，首先需要通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。 这种方式可以集中大量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。 比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。 网络监听网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息，也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听可以有效地截获网上的数据，这是黑客使用最多的方法，但是，网络监听只能应用于物理上连接于同一网段的主机，通常被用做获取用户口令。

scvhost.exe 进程错误

一、硬件的可能性是比较小的,如果是硬件,那就应该是内存条跟主机不兼容的问题导致的 如果能排除硬件上的原因（内存条不兼容，更换内存）往下看： 二、系统或其它软件引起的，可用下述方法处理： 系统本身有问题，及时安装官方发行的补丁，必要时重装系统。 病毒问题：杀毒 。 杀毒软件与其它软件冲突：卸载有问题的软件。 显卡、声卡驱动是否正确安装或者是否被恶意覆盖否？重新安装显卡声卡驱动。 1、使用系统自带的sfc命令，修复受到损坏的系统文件恢复到正常状态。 开始→运行→输入cmd，打开“命令提示符”窗口→输入字符串命令sfc/scannow→回车→耐心等待命令程序对每个系统文件搜索扫描→一旦发现系统文件的版本不正确或者系统文件已经损坏→它就能自动弹出提示界面→要求插入Windows系统的安装光盘→从中提取正常的系统文件来替代不正常的系统文件→达到修复系统文件的目的→最后重新启动计算机。 2、安装过的Domino这程序导致有问题,你可以在开始→运行→msconfig→启动项目→关闭Domino启动项→如果关闭不了→可以用卡卡助手之类的系统设置软件把它强行关掉→如果还是不行的→证明你系统中毒→那就重新安装系统彻底解决。 三、浏览器出现内存不能读、写的提示： 1、运行→regedit→进入注册表, 在→ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 这个位置有一个正常的键值{AEB6717E-7E19-11d0-97EE-00C04FD}, 将其他的删除。 2、打开CMD窗口输入如下命令: for %i in (%windir%\system32\*) do /s %i 回车 for %i in (%windir%\system32\*) do /s %i 回车 两条分别运行完成后重启机器。 四、如果以上方法无法解决只能使用最后一招： 完全注册dll：打开“运行”输入→cmd→回车 然后把下面这行字符复制到黑色cmd框里面去回车等待dll文件全部注册完成就关闭可以了,为防止输入错误可以复制这条指令，然后在命令提示符后击鼠标右键→粘贴→回车，耐心等待，直到屏幕滚动停止。 （下面是要运行的代码）： for %1 in (%windir%\system32\*) do /s %1 完成后重新启动机器。