精华内容
下载资源
问答
  • [PConline 应用]相信很多游戏玩家都遇到过Win10自动升级驱动的相关问题,最常见的,可能就是Windows Update无法安装上驱动了。不少玩家都会自行安装最新的显卡驱动,运行一切正常,然而就遭不住Windows Update的疯狂...

    [PConline 应用]相信很多游戏玩家都遇到过Win10自动升级驱动的相关问题,最常见的,可能就是Windows Update无法安装上驱动了。不少玩家都会自行安装最新的显卡驱动,运行一切正常,然而就遭不住Windows Update的疯狂报错,就如下图。

    c76d15499ce7ad8c9346e582eb62a2e3.png
    安装了最新的驱动后,Win10推送老驱动却装不上,报错信息挥之不去

    为什么会这样子呢?这和Windows Update的机制有关。Windows Update会推送经过微软验证的WHQL驱动,然而这样的驱动,往往不如设备厂商官网发布的驱动来得新。玩家手动到官网下载安装了最新驱动,但禁不住Windows Update很多时候仍会推送旧版的WHQL驱动,推送后又检测到已安装的驱动版本更高,安装失败并报错。

    不得不说,Windows Update这个机制非常反人类。知道设备上的驱动版本更高,直接别推送就是了,偏偏还要继续推送旧版驱动,推送了又装不上,只留下一个报错的信息,这报错的信息还消不掉!天天看着Win10的升级界面有个报错,实在烦不胜烦。

    要如何解决这个问题?其实微软官方提供了一个解决方案,可以屏蔽掉特定的Windows Update推送项目,这就来给大家介绍一下吧。

    Show or hide update官方下载:

    http://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcabdownload.microsoft.com

    这是微软官方提供的一个小工具,名字叫Show or hide update,可以说非常直白了。它的使用很简单,下载完成后,双击运行,即可看到一个如下图的窗口。其中,窗口有一个“高级”的可点击处,其实其中只有是否自动修复一个选项,保持默认即可。

    f7eb7c3c21276eca2881cd6f45d73a71.png
    主界面

    点击下一步。Show or hide update会让你选择隐藏更新,或者重新显示隐藏了的更新。这里选择第一个,隐藏更新。如果之后想要重新让Win10推送这个更新,可以再次运行工具,选择第二个重新显示更新的选项。

    fc9b8593861b86f0e702702a890c30d2.png
    选择“Hide updates”

    接下来Show or hide update就会自动扫描有什么更新项可以隐藏。可以看到,Show or hide update扫描出了相关的显卡驱动,驱动的版本号和Windows Update所推送的一模一样,可以确认这就是一直推送、一直无法成功安装的驱动,将其勾选。

    6ec295138b5a25c1d0c1ea0c41fcf23e.png
    选择想要隐藏的Windows Update推送选项

    之后的事情就很简单了,Show or hide update这工具会自动修复问题,让相关的驱动不再推送,问题就解决了。再次开启Windows Update并且刷新,可以发现已经没有了报错信息,也不会再推送装不上的老驱动。

    b2a5d5ef4971958963e39833d681d0ef.png
    隐藏后,这个更新就不会再出现在推送中了

    可见,Show or hide update这个小工具还是相当实用的。它不仅可以用来隐藏无法安装的老驱动推送,还可以隐藏其他你不想要的Win10更新。但有一说一,这个小工具本来就没有必要存在,为什么微软不能让Win10内置这样的功能呢?Windows Update能不能别推送装不上的旧驱动?希望微软能做得更好吧。

    展开全文
  • 6种进程防杀方案和源码.rar

    热门讨论 2010-09-27 14:30:31
    09年初刚到现在这家公司,头让做一个进程防杀的功能,为了保护我们的软件的服务程序,类似360或瑞星这样的安全产品都有进程防杀的功能。研究了一个多月,总结网上的各种防杀方法并参考其代码,特此将各种实现方法归纳为...
  • 本文讲的是隐藏的宝藏:ETW的入侵检测(第1部分),现如今防御者所面临的信息不对称问题已经越来越凸显,特别是随着内存中的攻击和有针对性的恶意软件的出现,防御者已经不能仅仅依靠Windows默认提供的事件日志来...
    本文讲的是隐藏的宝藏:ETW的入侵检测(第1部分)现如今防御者所面临的信息不对称问题已经越来越凸显,特别是随着内存中的攻击和有针对性的恶意软件的出现,防御者已经不能仅仅依靠Windows默认提供的事件日志来进行防御了,因为攻击者可能会使用进程空当来将其代码隐藏在一个看似良性的进程中,并切Command&Control流量通过DNS路由保持隐藏。

    在通过Office 365红队练习我们的事件响应功能后,我们开始研究Windows安全事件日志之外的备用数据源。我们意识到,虽然我们可以看到一个可疑过程,但我们不知道这个进程查询了哪些域,或者发送到端点的数据量有哪些。此外,我们发现PowerShell.exe的实例是一个对手可以执行任意数量的未知命令的黑洞,因此我们需要比安全事件日志所能提供的更多信息。

    挑战是什么?

    想象一下这种情况:在查看事件日志时,你发现4688 Process Start事件有一个未知可执行文件—bad.exe:

    隐藏的宝藏:ETW的入侵检测(第1部分)

    不幸的是,当你使用此可疑进程研究机器时,bad.exe已经不再位于磁盘或任何位置。这时候你就会发现仅使用Windows安全事件日志中可用的内容,除了4688 Process Start事件中的上述内容之外,你可以获得的信息非常少。

    关于bad.exe的哪些信息在检测和威胁评估中最有用?我们可能主要对以下三个问题感兴趣:

    · 谁干的?比如用户名;
    · 他们做了什么?比如过程 - 如果使用过程中挖空/注射,这可能会导致出现误导;
    · 他们在哪里发送数据?比如目标网络地址和域名;

    考虑到这些问题,我们想要了解的信息可能如下所示:

    · 进程执行什么DNS查找?
    · 该进程连接到哪个IP地址?
    · 流程传输了多少数据?
    · 过程“指向”哪里?即进程是否与Command&Control基础架构通信?
    · 加载了哪些DLL的进程?
    · 过程是否在其他进程中创建线程?
    · 该进程执行什么WMI操作?
    · 进程调用了什么PowerShell函数?

    要收集这种类型的数据,你可能需要内核驱动程序或某种hooking机制。幸运的是,Windows提供了现有的数据源,可以帮助我们回答这些题为ETW或Windows事件跟踪的问题。

    ETW救援

    Windows事件跟踪(ETW)是Windows 2000以后在Windows中可用的跟踪技术。它最初旨在帮助Microsoft工程师调试操作系统,例如性能测量和电源管理跟踪。很多Windows的工程师都会使用ETW进行性能测试和组件跟踪。

    ETW可能和你遇到的其他跟踪技术并没有显着差异。一个组件(例如PowerShell)注册一个提供者,它会发出一个或多个类型的事件。每个事件都有一个描述事件有效载荷中包含的数据类型的模式。事件可能包含字符串,整数,浮点数,布尔值,甚至二进制数据。

    要使用ETW提供者的事件,用户需要首先创建跟踪会话。每个跟踪会话可以消耗一个或多个提供者。在注册跟踪会话的提供者之后,用户必须注册一个可以处理来自任何提供者的任何事件的回调。当用户准备启用跟踪会话时,很重要的一点是要注意通过启动跟踪会话,用户将调用线程向ETW子系统提供泵送事件。

    事件的流程如下图所示:

    隐藏的宝藏:ETW的入侵检测(第1部分)

    ETW的形状

    为了更好地了解什么是ETW事件,我们将使用一个名为Microsoft Message Analyzer的工具。该工具允许你订阅操作系统上可用的ETW跟踪,并在事件进入时检查事件。

    以下是注册PowerShell提供程序后Message Analyzer的主窗口:

    隐藏的宝藏:ETW的入侵检测(第1部分)

    在中心,我们看到一系列的事件与总结:

    隐藏的宝藏:ETW的入侵检测(第1部分)

    当我们选择其中一个事件时,就像上面突出显示的那些事件,我们在下半部分会得到一个详细的视图:

    隐藏的宝藏:ETW的入侵检测(第1部分)

    标有“ContextInfo”,“UserData”和“Payload”的前三个项目都是此事件的属性。我们可以看到“类型”列描述了所有这些都是字符串。如果我们选择其中一个属性,我们可以看到该属性的内容:

    隐藏的宝藏:ETW的入侵检测(第1部分)

    这是一个包含主机应用程序(“powershell.exe”),命令名称(“invoke-mimikatz”)和调用它的用户(“REDMOND  zbrown”)的结构化字符串blob。

    每个ETW提供者都可以使用自己独特的模式发送事件。除了唯一的模式,每个事件还有一些标准属性 – EventId,ProcessId,ThreadId,TimeStamp,ProviderId等等。这些属性对于所有ETW事件都是常见的。

    如果你想了解更多有关使用Message Analyzer检查ETW事件的信息,可以参阅本指南

    ETW 可视性

    ETW可以提供对大多数核心Windows子系统的可见性,包括:

    · 网络活动
    · 流程创建/终止
    · 线程创建/终止
    · 内存分配
    · DLL加载/卸载
    · PowerShell方法调用
    · DNS解析(缓存和热)
    · 防火墙活动
    · WMI活动
    · WinINet请求/响应头
    · 还有更多的...

    在Windows 10中,有超过1000个提供者。如果你好奇你的Windows版本上提供哪些提供程序,则可以运行以下命令:

            logman查询提供者> providers.txt

    随着所有这些数据成熟,你可以假设我们可以简单地将这些ETW提供者打开,并立即开始从增加的信息中受益。然而,ETW仍然是一个调试流,但也因此输出了真正大量的数据。这就像从消防水带中喝水一样:

    隐藏的宝藏:ETW的入侵检测(第1部分)

    想象一下,你可以尝试将此数据发送到您的SIEM:

    · 每个进程中的每个DLL加载
    · 每个进程中的每个线程创建
    · 每个进程从每个端点开始

    如果我们以原始形式发送数据,可能无法有效地使用数据。要使用这个新的数据源,我们需要一些方法来过滤和/或汇总数据。

    在ETW的下一篇博客文章中,我们将讨论如何以编程方式来消耗ETW,过滤投入以及如何对上述我们概述的那些问题进行解答。




    原文发布时间为:2017年4月13日
    本文作者:Change
    本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
    展开全文
  • LanHelper能扫描到远程计算机非常丰富的各种信息,包括了名称(NetBIOS名或者DNS名)、IP地址、MAC地址、工作组名、用户名称、操作系统类型、服务器类型、备注、共享文件夹、隐藏共享、共享打印机、共享文件夹的属性...
  • 《黑客大曝光:恶意软件和Rootkit安全》介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止Rootkit的方法,详细地介绍了最新的入侵检测、防火墙、蜜罐、病毒、Rootkit以及间谍软件技术...
  • 10.4.3 隐藏进程和远程进程 248 10.4.4 消灭潜藏在自己机器中的病毒进程 251 10.5 专家点拨:常见问题与解答 252 10.6 总结与经验积累 253 第11章 系统清理与间谍软件清除 255 11.1 间谍软件概述 256 11.1.1 运用...
  • 10.2.7 状态包检测防火墙 456 10.3 常见防火墙简介 457 10.4 防火墙的结构 458 10.4.1 常见术语 458 10.4.2 双宿主机体系结构 458 10.4.3 被屏蔽主机体系结构 459 10.4.4 被屏蔽子网体系结构 459 10.5 防火墙发现...
  • Nginx版UPUPW PHP5.4系列环境集成包UP-N4.1全新升级为UPUPW安全防护功能版,独具UPUPW无进程安全防护机制不消耗内存,让所有运行于UPUPW上的网站免于注入威胁(GET,POST,COOKIE,XSS,SQL)。 具备SendMail邮件功能组件...
  • 21.Windows 98中不识别双CPU 22.开机自检为两个CPU 23.关闭二级缓存造成计算机运行过慢 24.计算机检测到L2Cache时死机 25.CPU针脚接触不良导致无法进入系统 26.消除机箱内的风扇噪声 27.CPU风扇工作不正常导致死机 ...
  • 易语言模块大全

    2018-08-07 13:01:30
    CPU占用率检测模块.ec cs.ec DES加密模块 1.0.ec DIY热键框模块.ec DLL注入模块.ec DOS命令模块.ec EC.EC EdbServer1.0客户端.ec EDB、高级表格、XLS互换.ec edb到html-1.0.ec EDB数据库客户端模块 1.0....
  • 许多端点保护/病毒软件供应商已经添加了检测挖矿程序的功能。Anomali安全策略总监Travis Farral说:“病毒是终端预防挖矿劫持的方法之一。如果这个程序是已知的,那就很可能被检测出来。”他补充道,需要注意的...
  • 隐藏进程模块(1).ec 隐藏进程模块(2).ec 隐藏显示任务栏.ec 用户管理模块 1.3.ec 用户配置模块1.0.ec 优化内存模块.ec 邮件快手1.0.ec 语音报时模块1.0.ec 语音报时模块1.2.ec 语音朗读易模块 1.0.ec 远程...
  • 易语言模块914个

    2018-03-12 20:00:21
    CPU占用率检测模块.ec cs.ec DES加密模块 1.0.ec DIY热键框模块.ec DLL注入模块.ec DOS命令模块.ec EC.EC EdbServer1.0客户端.ec EDB、高级表格、XLS互换.ec edb到html-1.0.ec EDB数据库客户端模块 1.0....
  • 在任务栏显示或隐藏.ec 在线更新.ec 在线更新2.ec 在 线查找歌词.ec 地理位置查询.ec 堕之星辰1.2.ec 填充树型框.ec 复件 我的测试易模块.EC 复件 提示框模块2.72 Alpha版.ec 复件 提示框模块3.0版.ec 复件 提示框...
  • 1345个易语言模块

    2012-01-27 19:41:59
    在任务栏显示或隐藏.ec 在线更新.ec 在线更新2.ec 在 线查找歌词.ec 地理位置查询.ec 堕之星辰1.2.ec 填充树型框.ec 复件 我的测试易模块.EC 复件 提示框模块2.72 Alpha版.ec 复件 提示框模块3.0版.ec 复件 提示框...
  • 1350多个精品易语言模块提供下载

    热门讨论 2011-06-06 17:51:09
    在任务栏显示或隐藏.ec 在线更新.ec 在线更新2.ec 在 线查找歌词.ec 地理位置查询.ec 堕之星辰1.2.ec 填充树型框.ec 复件 我的测试易模块.EC 复件 提示框模块2.72 Alpha版.ec 复件 提示框模块3.0版.ec 复件 提示框...
  • 网络信息扫描实验

    2013-05-11 22:05:21
    入侵者间接利用第三方主机进行扫描,以隐藏真正入侵者的痕迹。第三方主机是通过其他入侵方法控制的主机,扫描的结果最终会从第三方主机发送给真正的入侵者。 端口扫描器是黑客常用的工具,目前的扫描工具有很多种,...
  • 隐藏进程模块(2).ec 调试程序检测模块.ec 转为汉语拼音.ec 屏幕分辩率更改.ec 屏幕分辩率更改1.0.ec 磁盘相关.ec 系统管家-关机管理.ec 关机管理.ec Bios信息.ec 进程相关模块-1.ec 进程相关模块-2.ec 进程相关模块-...
  • CPU占用率检测模块.ec cs.ec DES加密模块 1.0.ec DIY热键框模块.ec DLL注入模块.ec DOS命令模块.ec EC.EC EdbServer1.0客户端.ec EDB、高级表格、XLS互换.ec edb到html-1.0.ec EDB数据库客户端模块 1.0.ec edb数据库...
  • vc++ 应用源码包_1

    热门讨论 2012-09-15 14:22:12
    Windows核心编程(第五版)随书源代码 vc-ftp 多线程操作多文件传输的操作。 VC版下载者 源码 非常简单的一个实例,使用了URLDownloadToFile下载文件。 VC断点续传源代码 从fnMyDownload开始,程序首先解析输入的...
  • vc++ 应用源码包_2

    热门讨论 2012-09-15 14:27:40
    Windows核心编程(第五版)随书源代码 vc-ftp 多线程操作多文件传输的操作。 VC版下载者 源码 非常简单的一个实例,使用了URLDownloadToFile下载文件。 VC断点续传源代码 从fnMyDownload开始,程序首先解析输入的...
  • vc++ 应用源码包_6

    热门讨论 2012-09-15 14:59:46
    Windows核心编程(第五版)随书源代码 vc-ftp 多线程操作多文件传输的操作。 VC版下载者 源码 非常简单的一个实例,使用了URLDownloadToFile下载文件。 VC断点续传源代码 从fnMyDownload开始,程序首先解析输入的...
  • vc++ 应用源码包_5

    热门讨论 2012-09-15 14:45:16
    Windows核心编程(第五版)随书源代码 vc-ftp 多线程操作多文件传输的操作。 VC版下载者 源码 非常简单的一个实例,使用了URLDownloadToFile下载文件。 VC断点续传源代码 从fnMyDownload开始,程序首先解析输入的...
  • vc++ 应用源码包_4

    热门讨论 2012-09-15 14:38:35
    Windows核心编程(第五版)随书源代码 vc-ftp 多线程操作多文件传输的操作。 VC版下载者 源码 非常简单的一个实例,使用了URLDownloadToFile下载文件。 VC断点续传源代码 从fnMyDownload开始,程序首先解析输入的...
  • vc++ 应用源码包_3

    热门讨论 2012-09-15 14:33:15
    Windows核心编程(第五版)随书源代码 vc-ftp 多线程操作多文件传输的操作。 VC版下载者 源码 非常简单的一个实例,使用了URLDownloadToFile下载文件。 VC断点续传源代码 从fnMyDownload开始,程序首先解析输入的...
  • ARP.bat 飞入+变色字.cmd 黑客帝国里数码雨.cmd 下一行数字和上一行显示在同一行.cmd 保留空行替换字符串.cmd 列举水产品最高&最低价记录.cmd 删除重复行.cmd 去掉字符串不同部位的空格.cmd 去掉字符串头所有的0....
  • ARP.bat 限制条件批量建立文件夹.cmd 隐藏批处理.bat 颜色.bat 飞入+变色字.cmd shell.bat SHELL.PIF Shell.reg 简介.txt svc2kxp.cmd svc2kxp深山红叶汉化版本.cmd 介绍.txt lmod.com OptimizeXp....
  • 识别常见病毒,病毒一般是以隐藏形式藏匿在计算机的文件中,要把文件的隐藏属性打开。每一盘都有工具这个选项,如下图所示: 49 五.常用DOS命令 60 第一章COMS的设置 开机画面现在有两种,一种为AMI公司开发的,...
  • Windows安全优化小助手.cmd xp下确定最后的盘符.bat XP服务优化批处理.bat YS从桌面复制文件到其他地方.bat 一键清理系统垃圾文件.bat 下一行数字和上一行显示在同一行.cmd 不显示输入密码.cmd 不显示隐藏文件.bat ...

空空如也

空空如也

1 2
收藏数 31
精华内容 12
关键字:

windows隐藏进程防检测