-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy pathsearch.xml
More file actions
2530 lines (2255 loc) · 424 KB
/
Copy pathsearch.xml
File metadata and controls
2530 lines (2255 loc) · 424 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
<?xml version="1.0" encoding="utf-8"?>
<search>
<entry>
<title>Hello World</title>
<url>/2024/10/22/hello-world/</url>
<content><![CDATA[<p>Welcome to <a href="https://hexo.io/">Hexo</a>! This is your very first post. Check <a href="https://hexo.io/docs/">documentation</a> for more info. If you get any problems when using Hexo, you can find the answer in <a href="https://hexo.io/docs/troubleshooting.html">troubleshooting</a> or you can ask me on <a href="https://github.com/hexojs/hexo/issues">GitHub</a>.</p>
<h2 id="Quick-Start"><a href="#Quick-Start" class="headerlink" title="Quick Start"></a>Quick Start</h2><h3 id="Create-a-new-post"><a href="#Create-a-new-post" class="headerlink" title="Create a new post"></a>Create a new post</h3><figure class="highlight bash"><table><tr><td class="code"><pre><span class="line">$ hexo new <span class="string">"My New Post"</span></span><br></pre></td></tr></table></figure>
<p>More info: <a href="https://hexo.io/docs/writing.html">Writing</a></p>
<h3 id="Run-server"><a href="#Run-server" class="headerlink" title="Run server"></a>Run server</h3><figure class="highlight bash"><table><tr><td class="code"><pre><span class="line">$ hexo server</span><br></pre></td></tr></table></figure>
<p>More info: <a href="https://hexo.io/docs/server.html">Server</a></p>
<h3 id="Generate-static-files"><a href="#Generate-static-files" class="headerlink" title="Generate static files"></a>Generate static files</h3><figure class="highlight bash"><table><tr><td class="code"><pre><span class="line">$ hexo generate</span><br></pre></td></tr></table></figure>
<p>More info: <a href="https://hexo.io/docs/generating.html">Generating</a></p>
<h3 id="Deploy-to-remote-sites"><a href="#Deploy-to-remote-sites" class="headerlink" title="Deploy to remote sites"></a>Deploy to remote sites</h3><figure class="highlight bash"><table><tr><td class="code"><pre><span class="line">$ hexo deploy</span><br></pre></td></tr></table></figure>
<figure class="highlight bash"><table><tr><td class="code"><pre><span class="line">$ hexo d -g</span><br></pre></td></tr></table></figure>
<p>More info: <a href="https://hexo.io/docs/one-command-deployment.html">Deployment</a></p>
]]></content>
</entry>
<entry>
<title>一种测试微信小程序的抓包方法</title>
<url>/2024/10/22/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/</url>
<content><![CDATA[<h2 id="环境信息"><a href="#环境信息" class="headerlink" title="环境信息"></a>环境信息</h2><ol>
<li>系统Microsoft Windows [版本 10.0.19045.5011]</li>
<li>微信 [版本 3.9.11.25]</li>
<li>proxifier [版本 4.03 x64]</li>
<li>burpsuite[版本 Professional 2024.8.4]</li>
<li>everything</li>
</ol>
<h2 id="测试环境搭建"><a href="#测试环境搭建" class="headerlink" title="测试环境搭建"></a>测试环境搭建</h2><ol>
<li>安装好微信。<a href="https://pc.weixin.qq.com/">微信下载地址</a></li>
<li>安装好proxifier,输入激活码:CLOT5-J3GYK-VGPYE-BDPMN-WKWMU(也可以用注册机自己生成:<a href="https://github.com/y9nhjy/Proxifier-Keygen">注册机下载地址</a>)</li>
<li>安装burpsuite,<a href="https://portswigger.net/burp/releases">burpsuite下载地址</a>,<a href="https://github.com/h3110w0r1d-y/BurpLoaderKeygen">注册机下载地址</a>。安装及破解详细教学地址:<a href="https://www.sqlsec.com/2020/10/winbp.html">burpsuite安装及破解</a></li>
</ol>
<h2 id="配置proxifier"><a href="#配置proxifier" class="headerlink" title="配置proxifier"></a>配置proxifier</h2><ol>
<li>配置代理服务器为burpsuite,进入proxifier,找到如下选项</li>
</ol>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022155637177.png" alt="image-20241022155637177"></p>
<ol start="2">
<li>点击“add”添加“Proxy Server”</li>
</ol>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022155940152.png" alt="image-20241022155940152"></p>
<ol start="3">
<li>本文章,默认您的burpsuite开启监听的端口是127.0.0.1:8080,所以添加server配置如下图:</li>
</ol>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022160216298.png" alt="image-20241022160216298"></p>
<ol start="4">
<li>可以点击下方“Check”按钮,确认代理服务器是否能成功连通。</li>
</ol>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022160514252.png" alt="image-20241022160514252"></p>
<p>如果连通,则显示绿色“Proxy is ready to work with Proxifier!”,如下图。</p>
<p><strong>注意:默认测试连通访问的是<a href="www.google.com">谷歌</a>,如果您未进行科学上网,可能会测试连通性失败,请在右上角“Test Settings”处,改成<a href="www.baidu.com">百度</a></strong></p>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022160621456.png" alt="image-20241022160621456"></p>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022160915957.png" alt="image-20241022160915957"></p>
<ol start="5">
<li>配置代理规则,找到下图选项卡</li>
</ol>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022161340939.png" alt="image-20241022161340939"></p>
<ol start="6">
<li>点击“Add”添加一条规则,“Applications”选择“wechatappex.exe”,这个程序是windows版微信小程序的exe,如果您不知道这个程序路径在哪里,可以使用everything程序进行全局搜索,<a href="https://www.voidtools.com/zh-cn/">everything下载地址</a>。</li>
</ol>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022162413616.png" alt="image-20241022162413616"></p>
<p>“Action”选择我们之前创建好的代理服务器“Proxy HTTPS 127.0.0.1”</p>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022161758371.png" alt="image-20241022161758371"></p>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022161704234.png" alt="image-20241022161704234"></p>
<h2 id="开始测试"><a href="#开始测试" class="headerlink" title="开始测试"></a>开始测试</h2><ol>
<li><p>打开windows版微信,点开任意小程序,测试抓包情况。</p>
</li>
<li><p>打开burpsuite。切换到“Proxy”选项卡中的“HTTP history”选项卡,可以看到成功抓到小程序数据包。</p>
</li>
</ol>
<p><img src="/../images/%E4%B8%80%E7%A7%8D%E6%B5%8B%E8%AF%95%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E7%9A%84%E6%8A%93%E5%8C%85%E6%96%B9%E6%B3%95/image-20241022163156601.png" alt="image-20241022163156601"></p>
<h2 id="后记"><a href="#后记" class="headerlink" title="后记"></a>后记</h2><ol>
<li>关于不能抓到https数据包的问题。访问:<a href="http://burp/">burp证书下载地址</a>下载证书,并导入“受信任的根证书颁发机构”,可以用“mmc”控制台管理单元添加,相关细节不再赘述。</li>
<li>关于能否用“Proxifier”抓取安卓模拟器数据包,还在测试。</li>
</ol>
]]></content>
<categories>
<category>渗透测试</category>
</categories>
<tags>
<tag>burp使用</tag>
<tag>小程序抓包</tag>
<tag>proxifier</tag>
</tags>
</entry>
<entry>
<title>linux-screen命令使用详解</title>
<url>/2024/10/23/linux-screen%E5%91%BD%E4%BB%A4%E4%BD%BF%E7%94%A8%E8%AF%A6%E8%A7%A3/</url>
<content><![CDATA[<h1 id="screen命令"><a href="#screen命令" class="headerlink" title="screen命令"></a>screen命令</h1><h2 id="创建一个新的窗口"><a href="#创建一个新的窗口" class="headerlink" title="创建一个新的窗口"></a>创建一个新的窗口</h2><p>screen -S test</p>
<h2 id="列出所有窗口"><a href="#列出所有窗口" class="headerlink" title="列出所有窗口"></a>列出所有窗口</h2><p>screen -ls</p>
<h2 id="重新回到窗口"><a href="#重新回到窗口" class="headerlink" title="重新回到窗口"></a>重新回到窗口</h2><p>screen -r test</p>
<h2 id="清除dead会话"><a href="#清除dead会话" class="headerlink" title="清除dead会话"></a>清除dead会话</h2><p>screen -list会显示该会话为dead状态<br>使用screen -wipe命令清除该会话</p>
<h2 id="远程detach某个session"><a href="#远程detach某个session" class="headerlink" title="远程detach某个session"></a>远程detach某个session</h2><p>screen -d test</p>
<h2 id="上翻命令"><a href="#上翻命令" class="headerlink" title="上翻命令"></a>上翻命令</h2><p>同时按ctrl+a+[</p>
<h2 id="参数说明"><a href="#参数说明" class="headerlink" title="参数说明"></a>参数说明</h2><figure class="highlight shell"><table><tr><td class="code"><pre><span class="line">screen [-AmRvx -ls -wipe][-d <作业名称>][-h <行数>][-r <作业名称>][-s ][-S <作业名称>]</span><br><span class="line"></span><br><span class="line">-A 将所有的视窗都调整为目前终端机的大小。</span><br><span class="line">-d <作业名称> 将指定的screen作业离线。</span><br><span class="line">-h <行数> 指定视窗的缓冲区行数。</span><br><span class="line">-m 即使目前已在作业中的screen作业,仍强制建立新的screen作业。</span><br><span class="line">-r <作业名称> 恢复离线的screen作业。</span><br><span class="line">-R 先试图恢复离线的作业。若找不到离线的作业,即建立新的screen作业。</span><br><span class="line">-s 指定建立新视窗时,所要执行的shell。</span><br><span class="line">-S <作业名称> 指定screen作业的名称。</span><br><span class="line">-v 显示版本信息。</span><br><span class="line">-x 恢复之前离线的screen作业。</span><br><span class="line">-ls或--list 显示目前所有的screen作业。</span><br><span class="line">-wipe 检查目前所有的screen作业,并删除已经无法使用的screen作业。</span><br></pre></td></tr></table></figure>]]></content>
<categories>
<category>常用命令详解</category>
</categories>
<tags>
<tag>linux</tag>
<tag>screen</tag>
</tags>
</entry>
<entry>
<title>文本去重复小工具</title>
<url>/2024/10/23/%E6%96%87%E6%9C%AC%E5%8E%BB%E9%87%8D%E5%A4%8D%E5%B0%8F%E5%B7%A5%E5%85%B7/</url>
<content><![CDATA[<h2 id="工具地址"><a href="#工具地址" class="headerlink" title="工具地址"></a>工具地址</h2><p><a href="https://h4ckforjob.github.io/rmre.html">文本去重复</a></p>
]]></content>
<categories>
<category>web工具</category>
</categories>
<tags>
<tag>小工具</tag>
<tag>去重复</tag>
</tags>
</entry>
<entry>
<title>hexo-next主题文章浏览次数添加单位</title>
<url>/2024/10/23/hexo-next%E4%B8%BB%E9%A2%98%E6%96%87%E7%AB%A0%E6%B5%8F%E8%A7%88%E6%AC%A1%E6%95%B0%E6%B7%BB%E5%8A%A0%E5%8D%95%E4%BD%8D/</url>
<content><![CDATA[<h2 id="环境信息"><a href="#环境信息" class="headerlink" title="环境信息"></a>环境信息</h2><ol>
<li>hexo版本:7.3.0</li>
<li>next版本:5.1.4</li>
</ol>
<h2 id="效果预览"><a href="#效果预览" class="headerlink" title="效果预览"></a>效果预览</h2><p>实现浏览次数的单位显示,效果如图</p>
<p><img src="/../images/hexo-next%E4%B8%BB%E9%A2%98%E6%96%87%E7%AB%A0%E6%B5%8F%E8%A7%88%E6%AC%A1%E6%95%B0%E6%B7%BB%E5%8A%A0%E5%8D%95%E4%BD%8D/image-20241023171312372.png" alt="image-20241023171312372"></p>
<h2 id="定位前端代码"><a href="#定位前端代码" class="headerlink" title="定位前端代码"></a>定位前端代码</h2><p>在浏览器中,同时按下Ctrl+Shift+c,选择前端图标元素,找到关键字。</p>
<p><img src="/../images/hexo-next%E4%B8%BB%E9%A2%98%E6%96%87%E7%AB%A0%E6%B5%8F%E8%A7%88%E6%AC%A1%E6%95%B0%E6%B7%BB%E5%8A%A0%E5%8D%95%E4%BD%8D/image-20241023171557749.png" alt="image-20241023171557749"></p>
<p>可以看到关键字是“fa fa-file-o”</p>
<p>在博客根目录搜索关键字,推荐使用vs code打开博客项目搜索,搜索结果如图。</p>
<p><img src="/../images/hexo-next%E4%B8%BB%E9%A2%98%E6%96%87%E7%AB%A0%E6%B5%8F%E8%A7%88%E6%AC%A1%E6%95%B0%E6%B7%BB%E5%8A%A0%E5%8D%95%E4%BD%8D/image-20241023171748595.png" alt="image-20241023171748595"></p>
<p>可以了解到页面统计是“page_pv_header”变量控制的。继续搜索“page_pv_header”变量。</p>
<p><img src="/../images/hexo-next%E4%B8%BB%E9%A2%98%E6%96%87%E7%AB%A0%E6%B5%8F%E8%A7%88%E6%AC%A1%E6%95%B0%E6%B7%BB%E5%8A%A0%E5%8D%95%E4%BD%8D/image-20241023171906996.png" alt="image-20241023171906996"></p>
<p>找到最终代码在“post.swig”文件中。</p>
<h2 id="实现单位添加"><a href="#实现单位添加" class="headerlink" title="实现单位添加"></a>实现单位添加</h2><p>修改<code><span class="busuanzi-value" id="busuanzi_value_page_pv" ></span></code>代码段前后。就可以实现文章浏览次数单位的添加。</p>
<p><img src="/../images/hexo-next%E4%B8%BB%E9%A2%98%E6%96%87%E7%AB%A0%E6%B5%8F%E8%A7%88%E6%AC%A1%E6%95%B0%E6%B7%BB%E5%8A%A0%E5%8D%95%E4%BD%8D/image-20241023172059517.png" alt="image-20241023172059517"></p>
]]></content>
<categories>
<category>hexo博客搭建相关</category>
</categories>
<tags>
<tag>hexo</tag>
<tag>next</tag>
</tags>
</entry>
<entry>
<title>thinkphp5框架学习-访问自定义方法</title>
<url>/2024/10/29/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/</url>
<content><![CDATA[<h2 id="环境搭建"><a href="#环境搭建" class="headerlink" title="环境搭建"></a>环境搭建</h2><ol>
<li>安装phpstudy,版本8.1.1.2,启动Apache2.4.39。</li>
<li>安装composer1.8.5。</li>
</ol>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029155119237.png" alt="image-20241029155119237"></p>
<ol start="3">
<li>配置系统环境变量。当前php路径:D:\phpstudy_pro\Extensions\php\php5.5.9nts\php.exe,当前composer路径:D:\phpstudy_pro\Extensions\composer1.8.5\composer.bat</li>
</ol>
<p>因此添加以下两个路径到系统环境变量,这样就能在cmd中执行composer命令了<br><code>D:\phpstudy_pro\Extensions\php\php5.5.9nts\</code><br><code>D:\phpstudy_pro\Extensions\composer1.8.5\</code></p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029160426862.png" alt="image-20241029160426862"></p>
<ol start="4">
<li>composer全局配置阿里云源。执行以下命令换源。</li>
</ol>
<p><code>composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/</code></p>
<ol start="5">
<li>使用composer安装thinkphp5框架。</li>
</ol>
<p>cd到phpstudy的web根目录。我的web根目录是D:\phpstudy_pro\WWW</p>
<p>执行以下命令开始安装,并将框架目录名命名为think_composer。</p>
<p><code>composer create-project --prefer-dist topthink/think think_composer</code></p>
<p>安装成功的话,应该如图所示。</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029161101169.png" alt="image-20241029161101169"></p>
<h2 id="测试访问"><a href="#测试访问" class="headerlink" title="测试访问"></a>测试访问</h2><p>访问<a href="http://localhost/think_composer/public/">http://localhost/think_composer/public/</a>如果一切配置正常,你会看到如下图界面。其中public文件夹为thinkphp5的web根目录。</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029161258968.png" alt="image-20241029161258968"></p>
<h2 id="添加自定义方法"><a href="#添加自定义方法" class="headerlink" title="添加自定义方法"></a>添加自定义方法</h2><p>那么如何添加自定义的方法呢?</p>
<p>测试修改代码,在application目录下,找到控制器index,添加test方法。</p>
<figure class="highlight php"><table><tr><td class="code"><pre><span class="line"><span class="keyword">public</span> <span class="function"><span class="keyword">function</span> <span class="title">test</span>(<span class="params"></span>)</span></span><br><span class="line"><span class="function"></span>{</span><br><span class="line"> <span class="keyword">return</span> <span class="title function_ invoke__">phpinfo</span>();</span><br><span class="line">}</span><br></pre></td></tr></table></figure>
<p>这段代码的意思是访问到test方法,就返回phpinfo信息。</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029161818286.png" alt="image-20241029161818286"></p>
<h2 id="访问自定义方法"><a href="#访问自定义方法" class="headerlink" title="访问自定义方法"></a>访问自定义方法</h2><p>接下来就是访问自定义方法。</p>
<p>可以通过以下路径访问到自定义方法。</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">http://localhost/think_composer/public/index.php?s=/index/index/test</span><br><span class="line">http://localhost/think_composer/public/index.php/index/index/test</span><br></pre></td></tr></table></figure>
<p>成功访问,如图所示。</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029162329771.png" alt="image-20241029162329771"></p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029162436115.png" alt="image-20241029162436115"></p>
<h2 id="未解决的问题"><a href="#未解决的问题" class="headerlink" title="未解决的问题"></a>未解决的问题</h2><h3 id="问题一:访问不到自定义方法。"><a href="#问题一:访问不到自定义方法。" class="headerlink" title="问题一:访问不到自定义方法。"></a>问题一:访问不到自定义方法。</h3><p>通过以下路径访问不到自定义方法。返回<code>No input file specified.</code>。</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">http://localhost/think_composer/public/index/index/index/test</span><br></pre></td></tr></table></figure>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029162729018.png" alt="image-20241029162729018"></p>
<p>猜测的原因是未正确配置<code>.htaccess</code>文件。我当前的配置内容为:</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line"><IfModule mod_rewrite.c></span><br><span class="line"> Options +FollowSymlinks -Multiviews</span><br><span class="line"> RewriteEngine On</span><br><span class="line"></span><br><span class="line"> RewriteCond %{REQUEST_FILENAME} !-d</span><br><span class="line"> RewriteCond %{REQUEST_FILENAME} !-f</span><br><span class="line"> RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]</span><br><span class="line"></IfModule></span><br></pre></td></tr></table></figure>
<p>搜索出来的文章说可能有两个原因。1.路由配置问题。2.thinkphp框架解析路径出现问题。<a href="https://blog.csdn.net/qq5201314wx/article/details/118540380">https://blog.csdn.net/qq5201314wx/article/details/118540380</a></p>
<p>慕课网用户给出的解决方案</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">需要设置你的站点伪静态,打开public-.htaccess</span><br><span class="line"></span><br><span class="line">把:RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]</span><br><span class="line"></span><br><span class="line">改成:RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]</span><br><span class="line"></span><br><span class="line">就可以了</span><br></pre></td></tr></table></figure>
<p>尝试修改配置之后还是返回<code>No input file specified.</code>。</p>
<p>最后修改配置成:</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line"><IfModule mod_rewrite.c></span><br><span class="line"> Options +FollowSymlinks -Multiviews</span><br><span class="line"> RewriteEngine On</span><br><span class="line"></span><br><span class="line"> RewriteCond %{REQUEST_FILENAME} !-d</span><br><span class="line"> RewriteCond %{REQUEST_FILENAME} !-f</span><br><span class="line"> RewriteRule ^(.*)$ index.php?s=/$1 [QSA,PT,L]</span><br><span class="line"></IfModule></span><br></pre></td></tr></table></figure>
<p>再访问<code>http://localhost/think_composer/public/index/index/index</code>就正常了</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241030143845017.png" alt="image-20241030143845017"></p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241030143920299.png" alt="image-20241030143920299"></p>
<h3 id="问题二:访问不到其他控制器的方法"><a href="#问题二:访问不到其他控制器的方法" class="headerlink" title="问题二:访问不到其他控制器的方法"></a>问题二:访问不到其他控制器的方法</h3><p>创建admin控制器,添加index方法。</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029164054888.png" alt="image-20241029164054888"></p>
<p>预期结果是访问以下两个路径,返回”this is admin Index index“。</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">http://localhost/think_composer/public/index.php?s=/admin/index/index</span><br><span class="line">http://localhost/think_composer/public/index.php/admin/index/index</span><br></pre></td></tr></table></figure>
<p>但实际访问报错如图。</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029164430785.png" alt="image-20241029164430785"></p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029164454118.png" alt="image-20241029164454118"></p>
<p>目前还没找到原因,先继续学习thinkphp5框架后续课程了。</p>
<p>更新,发现原来是Index.php的i没大写,导致找不到控制器。</p>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029180500309.png" alt="image-20241029180500309"></p>
<p>现在访问以下路径,能看到”this is admin Index index“了。</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">http://localhost/think_composer/public/index.php?s=/admin/index/index</span><br><span class="line">http://localhost/think_composer/public/index.php/admin/index/index</span><br></pre></td></tr></table></figure>
<p><img src="/../images/thinkphp5%E6%A1%86%E6%9E%B6%E5%AD%A6%E4%B9%A0-%E8%AE%BF%E9%97%AE%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%B9%E6%B3%95/image-20241029180843357.png" alt="image-20241029180843357"></p>
]]></content>
<categories>
<category>php开发</category>
</categories>
<tags>
<tag>thinkphp5</tag>
<tag>php</tag>
</tags>
</entry>
<entry>
<title>使用傲梅分区助手扩大c盘</title>
<url>/2025/04/10/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/</url>
<content><![CDATA[<h2 id="查看分区情况"><a href="#查看分区情况" class="headerlink" title="查看分区情况"></a>查看分区情况</h2><p>目前磁盘1有c盘和d盘,目标是将d盘中的350g空间,扩容到c盘<br><img src="/../images/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/image-20250410150222623.png" alt="image-20250410150222623"></p>
<h2 id="调整d盘分区"><a href="#调整d盘分区" class="headerlink" title="调整d盘分区"></a>调整d盘分区</h2><p>划分分区大小,腾出350g左右的未分配空间</p>
<p><img src="/../images/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/image-20250410151014784.png" alt="image-20250410151014784"></p>
<h2 id="调整c盘分区"><a href="#调整c盘分区" class="headerlink" title="调整c盘分区"></a>调整c盘分区</h2><p>将未分配空间,全部加到c盘上</p>
<p><img src="/../images/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/image-20250410151247799.png" alt="image-20250410151247799"></p>
<p>预览下效果</p>
<p><img src="/../images/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/image-20250410151313608.png" alt="image-20250410151313608"></p>
<h2 id="提交操作"><a href="#提交操作" class="headerlink" title="提交操作"></a>提交操作</h2><p>点击左上角提交操作,在弹出的窗口中,再点击执行</p>
<p><img src="/../images/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/image-20250410151409097.png" alt="image-20250410151409097"></p>
<h2 id="等待重启进入pe模式自动调整分区"><a href="#等待重启进入pe模式自动调整分区" class="headerlink" title="等待重启进入pe模式自动调整分区"></a>等待重启进入pe模式自动调整分区</h2><p><img src="/../images/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/1e59602a9dad3327050e239c2d3f3cd.jpg" alt="1e59602a9dad3327050e239c2d3f3cd"><br>分区调整完成后自动重启,进入系统查看c盘,已经成功扩容到500g,d盘原有的数据也还在,非常好!<br><img src="/../images/%E4%BD%BF%E7%94%A8%E5%82%B2%E6%A2%85%E5%88%86%E5%8C%BA%E5%8A%A9%E6%89%8B%E6%89%A9%E5%A4%A7c%E7%9B%98/image-20250410153211541.png" alt="image-20250410153211541"></p>
]]></content>
<tags>
<tag>分区助手</tag>
<tag>c盘扩容</tag>
</tags>
</entry>
<entry>
<title>应急响应-Linux场景checklist</title>
<url>/2025/07/04/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94-Linux%E5%9C%BA%E6%99%AFchecklist/</url>
<content><![CDATA[<h2 id="数据备份"><a href="#数据备份" class="headerlink" title="数据备份"></a>数据备份</h2><ol>
<li>创建临时目录,存储分析记录</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">mkdir /tmp/work/</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>打包日志文件,防止后续操作覆盖</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">sudo tar -zcvf /tmp/work/log.tar.gz /var/log/</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>备份历史命令再进行分析,防止覆盖(显示命令执行时间)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">export HISTTIMEFORMAT='%F %T ' ;history > /tmp/work/history.txt</span><br><span class="line">cat /root/.bash_history > /tmp/work/bash_history.txt</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>将本地工具包拷贝至远程机器/tmp/work/路径下</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">scp -r /local/tool.zip root@192.168.1.1:/tmp/work/</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>将远程机器文件下载到本地的/tmp/work/路径下</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">scp -P 22 root@192.168.1.1:/tmp/work/log.tar.gz /tmp/work/</span><br></pre></td></tr></table></figure>
<h2 id="命令篡改分析"><a href="#命令篡改分析" class="headerlink" title="命令篡改分析"></a>命令篡改分析</h2><ol>
<li>检查是否有恶意命令设置了别名</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">alias</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>检查系统完整性,系统命令是否被替换(重点关注S、5、T)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">rpm -Va</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">rpm -Va 的输出结果通常包含一些特殊字符,用于指示文件的哪些属性发生了变化:</span><br><span class="line">S:文件大小发生变化。</span><br><span class="line">M:文件的权限发生变化。</span><br><span class="line">5:文件的 MD5 校验和发生变化。</span><br><span class="line">D:设备号发生变化。</span><br><span class="line">L:符号链接的目标发生变化。</span><br><span class="line">U:文件所有者发生变化。</span><br><span class="line">G:文件所属组发生变化。</span><br><span class="line">T:文件的修改时间发生变化。</span><br><span class="line">P:文件的权限发生变化(另一种表示方式)。</span><br><span class="line">例如,输出结果 S.5....T 表示文件的大小、MD5 校验和和修改时间发生了变化。</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看命令目录最近的时间排序</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ls -alt /usr/bin | head -10</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>根据确定时间去匹配被篡改的命令</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ls -al /bin/ /usr/bin/ /usr/sbin/ /sbin/ | grep "Aug 25"</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看top命令是否有预加载的动态链接库文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ldd `which top`</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>跟踪命令的系统调用(需要安装strace工具)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">strace -f cat</span><br></pre></td></tr></table></figure>
<h2 id="网络分析"><a href="#网络分析" class="headerlink" title="网络分析"></a>网络分析</h2><ol>
<li>查看当前系统所有的tcp/udp连接</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netstat -pantu</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看当前系统监听的tcp/udp端口的进程</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netstat -tulnp</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看是否存在异常的域名-IP映射</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /etc/hosts</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看所有防火墙规则,是否存在业务范围之外的可疑地址和端口</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">iptables -vnL</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>全量抓取系统当前网络流量</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">tcpdump -w /tmp/work/flow.pcap</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>查看当前通信的连接总数</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netstat -an | grep ESTABLISHED | wc -l</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">wc命令参数解释:</span><br><span class="line">-l 或 --lines 统计文件中的行数。</span><br></pre></td></tr></table></figure>
<h2 id="进程分析"><a href="#进程分析" class="headerlink" title="进程分析"></a>进程分析</h2><ol>
<li>查看系统运行状态,是否存在进程占用CPU过大</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">top -c</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数详解</span><br><span class="line">-c:显示完整的命令行参数。</span><br><span class="line">如果不使用 -c,COMMAND 列只会显示进程的名称。</span><br><span class="line">使用 -c 后,COMMAND 列会显示完整的命令行,这对于调试和监控特定进程的运行参数非常有用。</span><br><span class="line">-n:指定 top 运行的次数。</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>根据进程名或字符串获取PID</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">pidof "关键字"</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看当前系统运行的所有进程</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ps -aux</span><br><span class="line">按照启动时间排序:</span><br><span class="line">ps -aux --sort=start_time</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数详解</span><br><span class="line">-a</span><br><span class="line">含义:显示当前终端(tty)上所有用户的进程,不包括其他终端的进程。</span><br><span class="line">作用:-a 选项使得 ps 命令不仅显示当前用户的进程,还显示其他用户在当前终端上运行的进程。</span><br><span class="line">-u</span><br><span class="line">含义:显示进程的用户(所有者)信息。</span><br><span class="line">作用:-u 选项使得 ps 命令显示进程的用户信息,包括用户名、进程的 CPU 使用率、内存使用率等。</span><br><span class="line">-x</span><br><span class="line">含义:显示没有控制终端的进程。</span><br><span class="line">作用:-x 选项使得 ps 命令能够显示那些没有控制终端(tty)的进程,例如后台运行的守护进程或通过 nohup 启动的进程。</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看当前系统运行的进程,及父子进程关系</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ps -auxef</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数详解</span><br><span class="line">-e 参数</span><br><span class="line">含义:显示系统中所有进程,不受终端(tty)的限制。</span><br><span class="line">作用:-e 选项使得 ps 命令能够列出系统中所有用户的进程,而不仅仅是当前终端或当前用户的进程。这包括后台进程、守护进程以及没有控制终端的进程。</span><br><span class="line">-f 参数</span><br><span class="line">含义:显示长格式的进程信息。</span><br><span class="line">作用:-f 选项使得 ps 命令显示更详细的进程信息,包括父进程 ID(PPID)、进程的启动时间、运行时间等。这有助于更全面地了解进程的上下文和行为。</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看进程树查看进程-线程对应关系</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">pstree -acU</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数详解</span><br><span class="line">-a 参数</span><br><span class="line">含义:显示每个进程的完整命令行参数。</span><br><span class="line">作用:默认情况下,pstree 只显示进程的名称。使用 -a 参数后,它会显示每个进程的完整命令行参数,这对于调试和监控特定进程的运行参数非常有用。</span><br><span class="line">-c 参数</span><br><span class="line">含义:不合并相同的进程。</span><br><span class="line">作用:在某些情况下,多个进程可能具有相同的名称或命令行参数。使用 -c 参数后,pstree 会将这些进程分别显示,而不是合并显示。</span><br><span class="line">-U 参数</span><br><span class="line">含义:显示进程的用户(所有者)信息。</span><br><span class="line">作用:使用 -U 参数后,pstree 会在每个进程的名称前显示其所有者的用户名。这对于识别哪些用户启动了哪些进程非常有用。</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>查看CPU占用前10的进程</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | head -n 11</span><br><span class="line">ps -aux --sort=-%cpu | head -11</span><br></pre></td></tr></table></figure>
<ol start="7">
<li>查看内存占用前10 的进程</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ps -eo pid,ppid,cmd,%mem --sort=-%mem | head -n 11</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数解释:</span><br><span class="line">-e:显示所有进程。</span><br><span class="line">-o:自定义输出格式,pid 是进程 ID,ppid 是父进程 ID,cmd 是命令行,%mem 是内存使用率(以百分比表示)。</span><br><span class="line">--sort=-%mem:按内存使用率降序排序。</span><br><span class="line">head -n 11:显示前 11 行(第 1 行是标题行,接下来是前 10 个进程)。</span><br></pre></td></tr></table></figure>
<ol start="8">
<li>查看进程的行为</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">strace -f -p pid</span><br></pre></td></tr></table></figure>
<h2 id="隐藏进程分析"><a href="#隐藏进程分析" class="headerlink" title="隐藏进程分析"></a>隐藏进程分析</h2><ol>
<li>通过对比ps显示的进程ID与proc目录文件的差异性来发现隐藏进程</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ps -ef | awk '{print$2}' | sort -n | uniq > 1</span><br><span class="line">ls /proc | sort -n | uniq > 2</span><br></pre></td></tr></table></figure>
<p>shell脚本实现</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">#!/bin/bash</span><br><span class="line"></span><br><span class="line"># 获取 ps 命令列出的所有 PID</span><br><span class="line">PS_PIDS=$(ps -eo pid | awk 'NR > 1 {print $1}')</span><br><span class="line"></span><br><span class="line"># 获取 /proc 目录中的所有 PID</span><br><span class="line">PROC_PIDS=$(ls -1 /proc | grep '^[0-9]')</span><br><span class="line"></span><br><span class="line"># 将两个列表转换为数组</span><br><span class="line">readarray -t PS_PIDS_ARRAY <<< "$PS_PIDS"</span><br><span class="line">readarray -t PROC_PIDS_ARRAY <<< "$PROC_PIDS"</span><br><span class="line"></span><br><span class="line"># 遍历 /proc 中的 PID,检查是否在 ps 的 PID 列表中</span><br><span class="line">for pid in "${PROC_PIDS_ARRAY[@]}"; do</span><br><span class="line"> if [[ ! " ${PS_PIDS_ARRAY[@]} " =~ " ${pid} " ]]; then</span><br><span class="line"> echo "隐藏进程 PID: $pid"</span><br><span class="line"> echo "进程信息:"</span><br><span class="line"> cat /proc/$pid/status</span><br><span class="line"> echo "------------------------"</span><br><span class="line"> fi</span><br><span class="line">done</span><br></pre></td></tr></table></figure>
<h2 id="恶意程序定位"><a href="#恶意程序定位" class="headerlink" title="恶意程序定位"></a>恶意程序定位</h2><ol>
<li>查看恶意进程对应的可执行程序</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ls -l /proc/{pid}/exe</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>如果进程源文件被删除,可使用重定向从内存中恢复源文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /proc/{pid}/exe > /tmp/work/test.bin</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看恶意进程启动命令</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /proc/{pid}/cmdline</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看恶意进程关联到的每个可执行文件和库文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /proc/{pid}/maps</span><br><span class="line">lsof -p {pid}</span><br><span class="line">ldd /proc/{pid}/exe</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看恶意进程环境变量,注意查看哪个用户启动,以及登录IP</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">strings /proc/{pid}/environ</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>获取进程启动时的所在路径(不一定是恶意文件所在路径)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">pwdx {pid}</span><br></pre></td></tr></table></figure>
<ol start="7">
<li>查看指定端口对应的程序</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">lsof -i:{port}</span><br></pre></td></tr></table></figure>
<ol start="8">
<li>查看与恶意进程关联的文件/端口</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">lsof -f -p {pid}</span><br></pre></td></tr></table></figure>
<ol start="9">
<li>查看指定文件名相关的进程信息</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">lsof -c 文件名</span><br></pre></td></tr></table></figure>
<ol start="10">
<li>查看tmp目录下的可疑文件,特别是以点开头的隐藏文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ls -alt /tmp</span><br><span class="line">ls -alt /var/tmp</span><br><span class="line">ls -alt /dev/shm</span><br></pre></td></tr></table></figure>
<h2 id="开机启动项分析"><a href="#开机启动项分析" class="headerlink" title="开机启动项分析"></a>开机启动项分析</h2><ol>
<li>关注/etc目录下的rc相关文件以及init相关目录及文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ls -altr /etc/init.d/</span><br><span class="line">cat /etc/inittab</span><br><span class="line">ls /etc/rc*.d/</span><br><span class="line">cat /etc/rc.local</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看开机自启动服务(Centos7 以前)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">chkconfig --list</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看开机自启动服务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">systemctl list-unit-files | grep enabled</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看该目录下是否存在异常启动服务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">/etc/systemd/system/</span><br><span class="line">/usr/lib/systemd/system</span><br><span class="line">/usr/lib/systemd/system/multi-user.target.wants</span><br></pre></td></tr></table></figure>
<h2 id="计划任务分析"><a href="#计划任务分析" class="headerlink" title="计划任务分析"></a>计划任务分析</h2><ol>
<li>查看一次性计划任务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">at -l</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看当前/指定用户的crontab文件内容</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">crontab -l</span><br><span class="line">crontab -u username -l</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看定时任务的log记录,是否存在异常的定时任务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /var/log/cron</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看系统任务配置文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /etc/crontab</span><br><span class="line">cat /etc/cron.d/</span><br><span class="line">ls -altr /etc/cron*</span><br><span class="line">ls -altr /var/spool/cron/</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看anacron定时任务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">/var/spool/anacron/*</span><br><span class="line">cat /etc/anacrontab</span><br></pre></td></tr></table></figure>
<h2 id="账户分析"><a href="#账户分析" class="headerlink" title="账户分析"></a>账户分析</h2><ol>
<li>查看所有用户</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /etc/passwd | cut -f 1 -d :</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看特权账户</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">awk -F: '{if($3==0)print $1}' /etc/passwd</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查询可以远程登录的账号</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">sudo awk '/\$1|\$6/{print $1}' /etc/shadow</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查询能够登录的账户</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /etc/passwd | grep -E "/bin/bash$"</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查询具有sudo权限的账号</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">sudo grep -E '^[^#]+ALL' /etc/sudoers | cut -d' ' -f1</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>查看机器当前登录的全部用户</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">who</span><br></pre></td></tr></table></figure>
<ol start="7">
<li>查看已经登录系统的用户列表</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">w</span><br></pre></td></tr></table></figure>
<ol start="8">
<li>所有用户的登录、注销信息,系统的启动、重启、关机事件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">last</span><br></pre></td></tr></table></figure>
<ol start="9">
<li>错误登录</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">lastb</span><br></pre></td></tr></table></figure>
<ol start="10">
<li>所有用户最近成功的登录事件和最后一次不成功的登录事件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">lastlog</span><br></pre></td></tr></table></figure>
<h2 id="异常文件分析"><a href="#异常文件分析" class="headerlink" title="异常文件分析"></a>异常文件分析</h2><ol>
<li>排查临时目录是否存在可疑文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ls -alt /tmp/</span><br><span class="line">ls -alt /var/tmp/</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看文件是否被加锁</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">lsattr {filename}</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>给文件解锁</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">lsattr -i {filename}</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看指定目录下文件时间的排序</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ls -alt | head -n 10</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看文件详细时间</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">stat {filename}</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>目录对比</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">diff -r 目录1 目录2</span><br></pre></td></tr></table></figure>
<ol start="7">
<li>查找24小时内被修改的jsp文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">find /path/to/search -type f -name "*.jsp" -mtime -1</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数解释:</span><br><span class="line">/path/to/search:指定要搜索的目录路径。你可以将其替换为实际的目录路径,例如 /var/www/html 或 .(当前目录)。</span><br><span class="line">-type f:指定只查找文件(不包括目录)。</span><br><span class="line">-name "*.jsp":指定只查找文件名以 .jsp 结尾的文件。</span><br><span class="line">-mtime -1:指定只查找在过去 24 小时内被修改的文件。-mtime -1 表示修改时间在过去 24 小时内。</span><br></pre></td></tr></table></figure>
<ol start="8">
<li>查找一天之前,七天之内新增的文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">find /path/to/search -type f -mtime +1 -mtime -7</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数解释:</span><br><span class="line">/path/to/search:指定要搜索的目录路径。你可以将其替换为实际的目录路径,例如 /var/www/html 或 .(当前目录)。</span><br><span class="line">-type f:指定只查找文件(不包括目录)。</span><br><span class="line">-mtime +1:指定文件的修改时间早于 24 小时。</span><br><span class="line">-mtime -7:指定文件的修改时间在过去 7 天内。</span><br></pre></td></tr></table></figure>
<ol start="9">
<li>查找777权限的jsp文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">find /path/to/search -type f -name "*.jsp" -perm 777</span><br></pre></td></tr></table></figure>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">参数解释:</span><br><span class="line">/path/to/search:指定要搜索的目录路径。你可以将其替换为实际的目录路径,例如 /var/www/html 或 .(当前目录)。</span><br><span class="line">-type f:指定只查找文件(不包括目录)。</span><br><span class="line">-name "*.jsp":指定只查找文件名以 .jsp 结尾的文件。</span><br><span class="line">-perm 777:指定查找权限为 777 的文件。</span><br></pre></td></tr></table></figure>
<h2 id="其他可疑项分析"><a href="#其他可疑项分析" class="headerlink" title="其他可疑项分析"></a>其他可疑项分析</h2><ol>
<li>查看可疑DNS配置</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /etc/resolv.conf</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>通过关键字匹配文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">grep -rn 关键字 /path</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看是否存在异常的域名IP映射</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /etc/hosts</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看是否存在可疑的环境变量</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">echo $PATH</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看动态链接库是否被修改</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">echo $LD_PRELOAD</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>查看linux预加载库,是否被添加恶意so文件(该文件默认为空)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">cat /etc/ld.so.preload</span><br></pre></td></tr></table></figure>
<ol start="7">
<li>查看可疑的用户库文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">/usr/local/lib/*</span><br></pre></td></tr></table></figure>]]></content>
<categories>
<category>应急响应</category>
</categories>
<tags>
<tag>linux</tag>
<tag>应急</tag>
</tags>
</entry>
<entry>
<title>应急响应-Windows场景checklist</title>
<url>/2025/07/04/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94-Windows%E5%9C%BA%E6%99%AFchecklist/</url>
<content><![CDATA[<h2 id="系统状态分析"><a href="#系统状态分析" class="headerlink" title="系统状态分析"></a>系统状态分析</h2><ol>
<li>检查是否存在CPU/内存/网络爆满的情况</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">WIN+R > taskmgr</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看系统版本信息及补丁信息</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">systeminfo</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看计算机详细信息</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">msinfo32</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看系统变量设置</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">set</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>如果恶意程序已经被查杀,可以在杀软查杀日志中发现</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">杀软查杀日志</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>用户目录下是否有可疑文件(时间排序)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">WIN+R > %UserProfile%\Recent</span><br><span class="line">C:\Documents and Settings\Administrator\Recent</span><br><span class="line">C:\Documents and Settings\Default User\Recent</span><br><span class="line">C:\windows\temp\</span><br></pre></td></tr></table></figure>
<h2 id="账户分析"><a href="#账户分析" class="headerlink" title="账户分析"></a>账户分析</h2><ol>
<li>访谈管理员,是否存在弱口令,是否开启3389rdp</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">弱口令排查</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看本地用户和组,是否存在可疑账号、新增账号</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">我的电脑->右键->管理->本地用户和组->用户</span><br><span class="line">WIN+R > lusrmgr.msc</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看登录情况</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">qwinsta</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看当前登录账户</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">query user</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看服务器账号</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">net user</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>查看本地管理员</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">net localgroup administrators</span><br></pre></td></tr></table></figure>
<ol start="7">
<li>查看本地用户</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">wmic UserAccount get name</span><br></pre></td></tr></table></figure>
<ol start="8">
<li>通过注册表查看账户</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names</span><br></pre></td></tr></table></figure>
<ol start="9">
<li>排查该目录下是否存在新建用户目录,如果存在,则重点排查download和desktop目录是否有可疑文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">C:\Users\{UserName}</span><br></pre></td></tr></table></figure>
<h2 id="网络分析"><a href="#网络分析" class="headerlink" title="网络分析"></a>网络分析</h2><ol>
<li>查看目前的网络连接,定位可疑的ESTABLISHED,处于监听状态的端口</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netstat -ano | findstr "端口号"</span><br></pre></td></tr></table></figure>
<p>连接状态解释:</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">CLOSED:无连接活动或正在进行</span><br><span class="line">LISTEN:监听中等待连接</span><br><span class="line">SYN_RECV:服务端接收了SYN</span><br><span class="line">SYN_SENT:请求连接等待确认</span><br><span class="line">ESTABLISHED:连接建立数据传输</span><br><span class="line">FIN_WAIT1:请求中止连接,等待对方FIN</span><br><span class="line">FIN_WAIT2:同意中止,请稍候</span><br><span class="line">ITMED_WAIT:等待所有分组死掉</span><br><span class="line">CLOSING:两边同时尝试关闭</span><br><span class="line">TIME_WAIT:另一边已初始化一个释放</span><br><span class="line">LAST_ACK:等待原来的发向远程TCP的连接中断请求的确认</span><br><span class="line">CLOSE-WAIT:等待关闭连接</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查看网络连接对应的进程(管理员权限打开powershell执行)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netstat /b</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看路由信息</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netstat -rn</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>根据netstat定位出的PID,进行进程定位</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">tasklist | findstr {PID}</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看防火墙策略(高版本不支持)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netsh firewall show all</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>查看防火墙策略</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">netsh advfirewall firewall show rule name=all dir=in type=dynamic</span><br></pre></td></tr></table></figure>
<ol start="7">
<li>查看DNS解析记录,是否存在可疑 的DNS解析</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ipconfig /displaydns</span><br></pre></td></tr></table></figure>
<h2 id="进程分析"><a href="#进程分析" class="headerlink" title="进程分析"></a>进程分析</h2><ol>
<li>查看运行程序(或进程)的命令行参数</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">wmic process get caption,commandline /value</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查询指定进程的命令行参数</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">wmic process where caption="xxx.exe" get caption,commandline /value</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>查看服务与进程对应关系</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">tasklist /svc</span><br></pre></td></tr></table></figure>
<ol start="4">
<li>查看进程与dll关系</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">tasklist -M</span><br></pre></td></tr></table></figure>
<ol start="5">
<li>查看哪些进程调用了指定的dll文件</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">tasklist -m {xxx.dll}</span><br></pre></td></tr></table></figure>
<ol start="6">
<li>查看是否存在异常的域名-IP映射</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">C:\Windows\System32\drivers\etc\hosts</span><br></pre></td></tr></table></figure>
<h2 id="日志查看分析"><a href="#日志查看分析" class="headerlink" title="日志查看分析"></a>日志查看分析</h2><ol>
<li>安全日志查看</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">WIN+R > eventvwr.msc > Windows日志 > 安全</span><br><span class="line">登录成功:事件ID为4624、528</span><br><span class="line">登录失败:事件ID为4625、529</span><br></pre></td></tr></table></figure>
<p><a href="https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor">事件id详解</a></p>
<h2 id="启动项排查"><a href="#启动项排查" class="headerlink" title="启动项排查"></a>启动项排查</h2><ol>
<li>自带启动项排查</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">WIN+R > msconfig-启动</span><br><span class="line">【开始】-【所有程序】-【启动】</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>注册表启动项排查</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">WIN+R > regedit检查以下项</span><br><span class="line">HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run</span><br><span class="line">HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run</span><br><span class="line">HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce</span><br></pre></td></tr></table></figure>
<h2 id="计划任务排查"><a href="#计划任务排查" class="headerlink" title="计划任务排查"></a>计划任务排查</h2><ol>
<li>图形化界面检查计划任务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">【开始】>【设置】>【控制面板】>【任务计划】</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>命令行检查计划任务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">旧版本系统使用:at</span><br><span class="line">新系统使用:schtasks</span><br></pre></td></tr></table></figure>
<h2 id="服务排查"><a href="#服务排查" class="headerlink" title="服务排查"></a>服务排查</h2><ol>
<li>图形化界面排查服务</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">WIN+R > services.msc</span><br></pre></td></tr></table></figure>
<h2 id="杂项(快速定位文件)"><a href="#杂项(快速定位文件)" class="headerlink" title="杂项(快速定位文件)"></a>杂项(快速定位文件)</h2><ol>
<li>定位文件路径,关键字搜索(在d盘下搜索文件名包含test的文件)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">for /r d:\ %i in (test) do @echo %i</span><br></pre></td></tr></table></figure>
<ol start="2">
<li>查找包含关键字的文件(搜索包含test的.txt文件)</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">findstr /s /m /I "test" *.txt</span><br></pre></td></tr></table></figure>
<ol start="3">
<li>搜索<code>*.txt</code>文件中test关键字所在的行</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">findstr /s /i /n "test" *.txt</span><br><span class="line">/i:忽略大小写。</span><br><span class="line">/n:在输出中显示行号。</span><br><span class="line">/c:"string":指定要搜索的字符串。</span><br><span class="line">/s:在当前目录及其所有子目录中递归搜索匹配的文件。</span><br><span class="line">/m:只列出包含匹配关键字的文件名,而不是列出匹配的行。</span><br></pre></td></tr></table></figure>]]></content>
<categories>
<category>应急响应</category>
</categories>
<tags>
<tag>应急</tag>
<tag>Windows</tag>
</tags>
</entry>
<entry>
<title>病毒分析-分析doc宏病毒</title>
<url>/2025/07/29/%E7%97%85%E6%AF%92%E5%88%86%E6%9E%90-%E5%88%86%E6%9E%90doc%E5%AE%8F%E7%97%85%E6%AF%92/</url>
<content><![CDATA[<h2 id="分析样本"><a href="#分析样本" class="headerlink" title="分析样本"></a>分析样本</h2><p>使用到python的oletools模块,输入以下命令进行模块安装</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">py -3 -m pip install oletools</span><br></pre></td></tr></table></figure>
<p>提取doc文档中的宏</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">olevba .\20250728151303PNpue9eq.doc</span><br></pre></td></tr></table></figure>
<p><img src="/../images/%E7%97%85%E6%AF%92%E5%88%86%E6%9E%90-%E5%88%86%E6%9E%90doc%E5%AE%8F%E7%97%85%E6%AF%92/image-20250729020721530.png" alt="image-20250729020721530"></p>
<h2 id="分析宏"><a href="#分析宏" class="headerlink" title="分析宏"></a>分析宏</h2><p>询问ai,分析宏的功能</p>
<table>
<thead>
<tr>
<th>特征</th>
<th>代码证据</th>
<th>说明</th>
</tr>
</thead>
<tbody><tr>
<td><strong>自动触发</strong></td>
<td><code>Document_Open()</code></td>
<td>文档打开即执行。</td>
</tr>
<tr>
<td><strong>隐藏痕迹</strong></td>
<td><code>Application.DisplayStatusBar = False</code></td>
<td>禁用状态栏,防止用户察觉。</td>
</tr>
<tr>
<td><strong>关闭安全警告</strong></td>
<td><code>Options.VirusProtection = False</code></td>
<td>禁用宏安全提示。</td>
</tr>
<tr>
<td><strong>感染模板</strong></td>
<td><code>NormalTemplate.VBProject</code></td>
<td>将病毒代码写入全局模板 <code>Normal.dot</code>,实现所有文档感染。</td>
</tr>
<tr>
<td><strong>自我复制</strong></td>
<td><code>MyCode = ... Lines(1, 20)</code> → <code>InsertLines 1, MyCode</code></td>
<td>将自身代码复制到目标模板/文档。</td>
</tr>
<tr>
<td><strong>反调试</strong></td>
<td><code>On Error Resume Next</code></td>
<td>忽略错误,避免崩溃暴露。</td>
</tr>
</tbody></table>
<h2 id="感染逻辑"><a href="#感染逻辑" class="headerlink" title="感染逻辑"></a>感染逻辑</h2><ol>
<li>首次感染:<br>如果当前文档的宏代码前2行不是 ‘APMP 和 ‘KILL(标记),则删除目标模板/文档的原有宏,并替换为病毒代码。</li>
<li>持久化:<br>若病毒已驻留 Normal.dot,则所有新建/打开的文档会被自动感染。</li>
</ol>
<h2 id="病毒类型"><a href="#病毒类型" class="headerlink" title="病毒类型"></a>病毒类型</h2><p>宏病毒:经典感染式,通过Office模板传播。</p>
<p>无直接破坏性,但会污染所有文档,可能导致数据泄露或后续下载更危险的载荷。</p>
<h2 id="处置建议"><a href="#处置建议" class="headerlink" title="处置建议"></a>处置建议</h2><ol>
<li>立即隔离:</li>
</ol>
<ul>
<li>在虚拟机中打开文件,避免传播。</li>
</ul>
<ol start="2">
<li>清除病毒:</li>
</ol>
<ul>
<li>删除 Normal.dot 中的恶意宏(%APPDATA%\Microsoft\Templates\Normal.dotm)。</li>
<li>使用杀毒软件(如Windows Defender全盘扫描)。</li>
</ul>
<ol start="3">
<li>修复文档:</li>
</ol>
<ul>
<li>用 Office 的 “打开并修复” 功能清理残留宏。</li>
</ul>
<ol start="4">
<li>防措施:</li>
</ol>
<ul>
<li>启用 “禁用所有宏并发出通知”(文件 → 选项 → 信任中心)。</li>
</ul>
]]></content>
<tags>
<tag>病毒分析</tag>
<tag>宏病毒</tag>
</tags>
</entry>
<entry>
<title>域渗透-搭建win2k8r2域功能级别的单域环境</title>
<url>/2025/09/19/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/</url>
<content><![CDATA[<h2 id="获取系统镜像"><a href="#获取系统镜像" class="headerlink" title="获取系统镜像"></a>获取系统镜像</h2><p>在<a href="https://msdn.itellyou.cn/">msdn</a>上下载操作系统镜像,如下图获取操作系统下载链接。使用迅雷下载。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919175703776.png" alt="image-20250919175703776"></p>
<p>这里我下载的是:cn_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1_x64_dvd_617598.iso</p>
<p>下载链接为:</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">ed2k://|file|cn_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1_x64_dvd_617598.iso|3368839168|D282F613A80C2F45FF23B79212A3CF67|/</span><br></pre></td></tr></table></figure>
<h2 id="安装操作系统及VMware-tools"><a href="#安装操作系统及VMware-tools" class="headerlink" title="安装操作系统及VMware tools"></a>安装操作系统及VMware tools</h2><ol>
<li>使用VMware安装虚拟机,点击文件-新建虚拟机。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919180224745.png" alt="image-20250919180224745"></li>
<li>选择典型安装,然后点击下一步。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919180351307.png" alt="image-20250919180351307"></li>
<li>点击浏览,选择到镜像文件,然后下一步。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919180554566.png" alt="image-20250919180554566"></li>
<li>产品密钥留空,个性化处,填写全名和密码,我这里设置全名为<code>administrator</code>,密码为<code>win2k8dc.</code>,然后点击下一步。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919180754830.png" alt="image-20250919180754830"></li>
<li>出现弹窗,选择是。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919181046108.png" alt="image-20250919181046108"></li>
<li>填写虚拟机名称,和虚拟机存放位置。这里名称命名为<code>win2k8r2 x64 dc</code>,位置为<code>E:\My_os\domain lab</code>,然后下一步。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919181820258.png" alt="image-20250919181820258"></li>
<li>设置磁盘大小为100g,选择将虚拟磁盘拆分成多个文件。然后下一步。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919182016643.png" alt="image-20250919182016643"></li>
<li>预览配置。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919182200580.png" alt="image-20250919182200580"></li>
<li>根据需要自定义硬件配置,我这里设置内存为4gb,处理器内核为8,设置好点击关闭,完成。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919182336890.png" alt="image-20250919182336890"></li>
<li>开始简易安装。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919182539118.png" alt="image-20250919182539118"></li>
<li>等待安装完成。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919182635566.png" alt="image-20250919182635566"></li>
<li>安装完成之后,自动打开了两个窗口,关闭即可。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919183459010.png" alt="image-20250919183459010"></li>
<li>接下来安装VMware Tools。现在在虚拟机选项卡,选择安装的选项可能是灰色的,需要我们关机,设置CD/DVD的连接为自动检测。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919184127359.png" alt="image-20250919184127359"></li>
<li>如果还是灰色,就手动选择iso。路径在你的VMware安装路径。我这里为D:\VMware\VMware Workstation\windows.iso,记得勾选连接。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919184617570.png" alt="image-20250919184617570"></li>
<li>进入计算机,发现加载了iso。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919185101318.png" alt="image-20250919185101318"></li>
<li>选择运行setup64.exe。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919185217724.png" alt="image-20250919185217724"></li>
<li>加载一会后进入安装向导。直接下一步。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919185418445.png" alt="image-20250919185418445"></li>
<li>选择典型安装,下一步。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919185753821.png" alt="image-20250919185753821"></li>
<li>安装。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20250919185925861.png" alt="image-20250919185925861"></li>
</ol>
<p>vmware workstation 的 VMware tools 安装驱动之后鼠标无法使用,报错vmci.sys 无法验证数字签名,暂时未处理。使用另一个虚拟机继续搭建域控。结果发现另一个虚拟机已经搭建过域控了。还是得继续重装系统,重新安装VMware tools。</p>
<ol start="20">
<li>最后找到报驱动数字签名错误的解决办法。原来是要安装KB4490628、KB4474419这两个补丁。官方的补丁下载地址为:<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">https://catalog.update.microsoft.com/search.aspx?q=4490628</span><br><span class="line">https://catalog.update.microsoft.com/search.aspx?q=4474419</span><br></pre></td></tr></table></figure>
然而没这么简单,在微软官方补丁下载平台下载不了补丁了。报错如下图,最后我才在csdn上找到了这两个补丁的下载地址。</li>
</ol>
<p><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003175119303.png" alt="image-20251003175119303"><br>我已经把这两个补丁上传到github上了,大家自行获取。</p>
<figure class="highlight plaintext"><table><tr><td class="code"><pre><span class="line">https://github.com/H4ckForJob/win2008r2x64Patch</span><br></pre></td></tr></table></figure>
<ol start="21">
<li>接下来就是把补丁传输到虚拟机内了,这里我使用u盘传输,安装补丁过程比较简单,双击运行就行了,这里跳过。</li>
<li>最后就是重新安装VMware tools了。步骤和上面一样。这里直接放一张安装完成后的截图。可以看到屏幕自适应了。<br><img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003180231485.png" alt="image-20251003180231485"></li>
</ol>
<h2 id="搭建域控"><a href="#搭建域控" class="headerlink" title="搭建域控"></a>搭建域控</h2><ol>
<li><p>设置静态ip。先添加个网卡。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003180616868.png" alt="image-20251003180616868"></p>
</li>
<li><p>选择仅主机模式。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003180710084.png" alt="image-20251003180710084"></p>
</li>
<li><p>右下角打开“网络和共享中心”。<br> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003180856253.png" alt="image-20251003180856253"></p>
</li>
<li><p>点击“本地连接2”,点击“属性”,点击“TCP/IPv4”,进到ip配置页面。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003181001915.png" alt="image-20251003181001915"></p>
</li>
<li><p>配置IP地址,选择“使用下面的IP地址”,配置IP地址为“10.10.10.1”,子网掩码为“255.0.0.0”,默认网关为“10.10.10.1”。配置DNS服务器,配置首选DNS服务器为“10.10.10.1”。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003181518750.png" alt="image-20251003181518750"><br> 打开cmd终端,输入<code>ipconfig</code>命令,查看ip地址配置情况。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003181748762.png" alt="image-20251003181748762"></p>
</li>
<li><p>更改计算机名(为了后续能通过计算机名区分域控服务器),这里改为<code>win2k8dc</code>,更改完毕后,重启生效。</p>
<p> <img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003182241957.png" alt="image-20251003182241957"></p>
</li>
<li><p>在cmd窗口中输入<code>dcpromo</code>升级此服务器为域控。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003181912585.png" alt="image-20251003181912585"></p>
</li>
<li><p>弹出向导,点击下一步。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003181957280.png" alt="image-20251003181957280"></p>
</li>
<li><p>选择“在新林中新建域”。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003182532582.png" alt="image-20251003182532582"></p>
</li>
<li><p>输入域名,这里为“test.com”。点击下一步,会进行检查,等待即可。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003182713238.png" alt="image-20251003182713238"></p>
</li>
<li><p>选择林的功能级别,接着下一步。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003182835196.png" alt="image-20251003182835196"></p>
</li>
<li><p>此处会自动检查DNS的配置,如果没安装DNS服务器的话,会自动勾选“DNS服务器”,单击下一步。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003182934708.png" alt="image-20251003182934708"></p>
</li>
<li><p>出现无法创建DNS服务器委派的提示,单击“是”,再单击“下一步”。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003183541593.png" alt="image-20251003183541593"></p>
</li>
<li><p>出现配置目录,保持默认,接着下一步。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003183735462.png" alt="image-20251003183735462"></p>
</li>
<li><p>输入还原模式密码,这里我设置为<code>win2k8dc.</code>。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003183925750.png" alt="image-20251003183925750"></p>
</li>
<li><p>下一步,出现摘要。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003184003905.png" alt="image-20251003184003905"></p>
</li>
<li><p>下一步,然后开始自动安装。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003184037273.png" alt="image-20251003184037273"></p>
</li>
<li><p>最后点击完成,再重启一下就好了。<img src="/../images/%E5%9F%9F%E6%B8%97%E9%80%8F-%E6%90%AD%E5%BB%BAwin2k8r2%E5%9F%9F%E5%8A%9F%E8%83%BD%E7%BA%A7%E5%88%AB%E7%9A%84%E5%8D%95%E5%9F%9F%E7%8E%AF%E5%A2%83/image-20251003184126104.png" alt="image-20251003184126104"></p>
</li>