找出电脑里隐藏的坏蛋

admin 2023年1月17日14:40:24评论15 views字数 7103阅读23分40秒阅读模式

使用powershell来找出那些偷偷打开端口的服务

在企业安全里,办公安全往往是最脆弱的,因为使用人员大多不是专业的计算机人员,可能会误安装了一些恶意程序,打开了一些端口,使得别人入侵进来,或者外连出去。往往这些恶意程序会伪装成服务。因此,获取端口监听或外连的服务就非常关键,然后依此对服务进行鉴别。

  • 先获取所有TCP连接,取得每个连接的端口(LocalPort)和相应的进程ID(OwningProcess)

    $Ports = Get-NetTCPConnection
  • 再获取所有服务,取得每个服务的名称(Name),显示名称(DisplayName),描述(Description),进程ID(ProcessId)

    $Services = Get-WmiObject -Class win32_service -Property Name,DisplayName,Description,ProcessId,State|Where-Object State -eq Running
  • $Ports$Services进行匹配,输出服务名,描述和端口

    foreach( $P in $Ports ) {
    foreach( $S in $Services ) {
    if ( $P.OwningProcess -eq $S.ProcessId ) {
    "$($S.DisplayName) : $($S.Description) : $($P.LocalPort)"
    }
    }
    }
  • 把代码组合起来,放在一个ps1文件

    $Ports = Get-NetTCPConnection
    $Services = Get-WmiObject -Class win32_service -Property Name,DisplayName,Description,ProcessId,State|Where-Object State -eq Running
    foreach( $P in $Ports ) {
    foreach( $S in $Services ) {
    if ( $P.OwningProcess -eq $S.ProcessId ) {
    "$($S.DisplayName) : $($S.Description) : $($P.LocalPort)"
    }
    }
    }
  • 输出结果如下

    Dell Hardware Support : Dell Hardware Support continuously monitors PC component health to identify and help resolve possible hardware issues. :  62681
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 60189
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 60187
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 60189
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 60187
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 60158
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 60156
    Kaspersky Security Center 11 网络代理 : 网络代理会协调管理服务器与安装在设备上的 Kaspersky Lab 应用程序之间的交互。: 50080
    Print Spooler : 该服务在后台执行打印作业并处理与打印机的交互。如果关闭该服务,则无法进行打印或查看打印机。: 49676
    Intel(R) Dynamic Application Loader Host Interface Service : Intel(R) Dynamic Application Loader Host Interface Service - Allows applications to access the local Intel (R) DAL : 49675
    IPsec Policy Agent : Internet 协议安全(IPsec)支持网络级别的对等身份验证、数据原始身份验证、数据完整性、数据机密性(加密)以及重播保护。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netsh ipsec" 创建的 IPsec 策略。停止此服
    务时,如果策略需要连接使用 IPsec,可能会遇到网络连接问题。同样,此服务停止时,Windows Defender 防火墙的远程管理也不再可用。: 49670
    CNG Key Isolation : CNG 密钥隔离服务宿主在 LSA 进程中。如一般原则所要求,该服务为私钥和相关加密操作提供密钥进程隔离。该服务在与一般原则要求相一致的安全进程中存储和使用生存期长的密钥。: 49668
    Netlogon : 为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。: 49668
    Security Accounts Manager : 启动此服务将向其他服务发出信号: 安全帐户管理器(SAM)已准备就绪,可以接受请求。禁用此服务将导致在 SAM 准备就绪时,无法通知系统中的其他服务,从而可能导致这些服务无法正确启动。不应禁用此服务。: 49668Credential Manager : 为用户、应用程序和安全服务包提供凭据的安全存储和检索。: 49668
    Task Scheduler : 使用户可以在此计算机上配置和计划自动任务。此服务还托管多个 Windows 系统关键任务。如果此服务被停止或禁用,这些任务将无法在计划的时间运行。如果此服务被禁用,则明确依赖它的所有服务将无法启动。: 49667
    Windows Event Log : 此服务管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。停止该服务可能危及系统的安全性和可靠性。: 49666
    CNG Key Isolation : CNG 密钥隔离服务宿主在 LSA 进程中。如一般原则所要求,该服务为私钥和相关加密操作提供密钥进程隔离。该服务在与一般原则要求相一致的安全进程中存储和使用生存期长的密钥。: 49664
    Netlogon : 为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。: 49664
    Security Accounts Manager : 启动此服务将向其他服务发出信号: 安全帐户管理器(SAM)已准备就绪,可以接受请求。禁用此服务将导致在 SAM 准备就绪时,无法通知系统中的其他服务,从而可能导致这些服务无法正确启动。不应禁用此服务。: 49664Credential Manager : 为用户、应用程序和安全服务包提供凭据的安全存储和检索。: 49664
    Kaspersky Security Center 11 网络代理 : 网络代理会协调管理服务器与安装在设备上的 Kaspersky Lab 应用程序之间的交互。: 30523
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 8307
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 8307
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 8307
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 8307
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 8307
    McAfee Agent Common Services : McAfee Agent Common Services : 8081
    Intel(R) Graphics Command Center Service : Service for Intel(R) Graphics Command Center : 808
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 443
    RPC Endpoint Mapper : 解析 RPC 接口标识符以传输端点。如果此服务被停止或禁用,使用远程过程调用(RPC)服务的程序将无法正常运行。: 135
    Remote Procedure Call (RPC) : RPCSS 服务是 COM 和 DCOM 服务器的服务控制管理器。它执行 COM 和 DCOM 服务器的对象激活请求、对象导出程序解析和分布式垃圾回收。如果此服务被停用或禁用,则使用 COM 或 DCOM 的程序将无法正常工作。强烈建议你运行 RPCSS 服务。: 135
    Microsoft FTP Service : 允许此服务器作为一个文件传输协议(FTP)服务器。如果停止此服务,服务器将不能作为 FTP 服务器运行。如果禁用此服务,则任何明确依赖于它的服务都将无法启动。: 21
    SangforSP : : 60760
    Kaspersky Endpoint Security 服务 : 保护您的计算机免受病毒、其他恶意应用程序和网络攻击的侵袭。: 60191
    Kaspersky Endpoint Security 服务 : 保护您的计算机免受病毒、其他恶意应用程序和网络攻击的侵袭。: 60159
    McAfee Agent Service : McAfee Agent Service : 59600
    Windows 推送通知系统服务 : 此服务在会话 0 中运行,并托管通知平台和连接提供程序(用于处理设备与 WNS 服务器之间的连接)。: 59264
    Print Spooler : 该服务在后台执行打印作业并处理与打印机的交互。如果关闭该服务,则无法进行打印或查看打印机。: 51432
    Dell Hardware Support : Dell Hardware Support continuously monitors PC component health to identify and help resolve possible hardware issues. : 62681
    SangforSP : : 60760
    Kaspersky Endpoint Security 服务 : 保护您的计算机免受病毒、其他恶意应用程序和网络攻击的侵袭。: 60191
    Windows 推送通知系统服务 : 此服务在会话 0 中运行,并托管通知平台和连接提供程序(用于处理设备与 WNS 服务器之间的连接)。: 59264
    Print Spooler : 该服务在后台执行打印作业并处理与打印机的交互。如果关闭该服务,则无法进行打印或查看打印机。: 51432
    Kaspersky Security Center 11 网络代理 : 网络代理会协调管理服务器与安装在设备上的 Kaspersky Lab 应用程序之间的交互。: 50080
    Dell Hardware Support : Dell Hardware Support continuously monitors PC component health to identify and help resolve possible hardware issues. : 50034
    Print Spooler : 该服务在后台执行打印作业并处理与打印机的交互。如果关闭该服务,则无法进行打印或查看打印机。: 49676
    IPsec Policy Agent : Internet 协议安全(IPsec)支持网络级别的对等身份验证、数据原始身份验证、数据完整性、数据机密性(加密)以及重播保护。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netsh ipsec" 创建的 IPsec 策略。停止此服
    务时,如果策略需要连接使用 IPsec,可能会遇到网络连接问题。同样,此服务停止时,Windows Defender 防火墙的远程管理也不再可用。: 49670
    CNG Key Isolation : CNG 密钥隔离服务宿主在 LSA 进程中。如一般原则所要求,该服务为私钥和相关加密操作提供密钥进程隔离。该服务在与一般原则要求相一致的安全进程中存储和使用生存期长的密钥。: 49668
    Netlogon : 为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。: 49668
    Security Accounts Manager : 启动此服务将向其他服务发出信号: 安全帐户管理器(SAM)已准备就绪,可以接受请求。禁用此服务将导致在 SAM 准备就绪时,无法通知系统中的其他服务,从而可能导致这些服务无法正确启动。不应禁用此服务。: 49668Credential Manager : 为用户、应用程序和安全服务包提供凭据的安全存储和检索。: 49668
    Task Scheduler : 使用户可以在此计算机上配置和计划自动任务。此服务还托管多个 Windows 系统关键任务。如果此服务被停止或禁用,这些任务将无法在计划的时间运行。如果此服务被禁用,则明确依赖它的所有服务将无法启动。: 49667
    Windows Event Log : 此服务管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。停止该服务可能危及系统的安全性和可靠性。: 49666
    CNG Key Isolation : CNG 密钥隔离服务宿主在 LSA 进程中。如一般原则所要求,该服务为私钥和相关加密操作提供密钥进程隔离。该服务在与一般原则要求相一致的安全进程中存储和使用生存期长的密钥。: 49664
    Netlogon : 为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。: 49664
    Security Accounts Manager : 启动此服务将向其他服务发出信号: 安全帐户管理器(SAM)已准备就绪,可以接受请求。禁用此服务将导致在 SAM 准备就绪时,无法通知系统中的其他服务,从而可能导致这些服务无法正确启动。不应禁用此服务。: 49664Credential Manager : 为用户、应用程序和安全服务包提供凭据的安全存储和检索。: 49664
    Kaspersky Security Center 11 网络代理 : 网络代理会协调管理服务器与安装在设备上的 Kaspersky Lab 应用程序之间的交互。: 30523
    SangforSP : : 10000
    Dell SupportAssist : Dell SupportAssist keeps your PC up to date and running at its best with recommended software and driver updates. It also helps resolve issues quickly by detecting common problems and sending issue details to Dell Technical Support agents on your behalf. : 9012
    Dell SupportAssist : Dell SupportAssist keeps your PC up to date and running at its best with recommended software and driver updates. It also helps resolve issues quickly by detecting common problems and sending issue details to Dell Technical Support agents on your behalf. : 9012
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 8307
    McAfee Agent Common Services : McAfee Agent Common Services : 8081
    连接设备平台服务 : 此服务用于连接设备平台方案 : 5040
    VMware Authorization Service : 用于启动和访问虚拟机的授权及身份验证服务。: 912
    VMware Authorization Service : 用于启动和访问虚拟机的授权及身份验证服务。: 902
    Intel(R) Graphics Command Center Service : Service for Intel(R) Graphics Command Center : 808
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 443
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 443
    VMware Workstation Server : 用于虚拟机注册和管理的远程访问服务。: 443
    RPC Endpoint Mapper : 解析 RPC 接口标识符以传输端点。如果此服务被停止或禁用,使用远程过程调用(RPC)服务的程序将无法正常运行。: 135
    Remote Procedure Call (RPC) : RPCSS 服务是 COM 和 DCOM 服务器的服务控制管理器。它执行 COM 和 DCOM 服务器的对象激活请求、对象导出程序解析和分布式垃圾回收。如果此服务被停用或禁用,则使用 COM 或 DCOM 的程序将无法正常工作。强烈建议你运行 RPCSS 服务。: 135
  • 剩下工作就是对这些结果进行筛选分析了


暗号:a036c

原文始发于微信公众号(debugeeker):找出电脑里隐藏的“坏蛋”

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日14:40:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   找出电脑里隐藏的坏蛋http://cn-sec.com/archives/1440040.html

发表评论

匿名网友 填写信息