title: 系统服务发现
tags:
- ATT&CK
author: 夜莺
categories: - ATT&CK
cover: ‘https://blog-1255850204.cos.ap-guangzhou.myqcloud.com/uPic/qrO7wg.png‘
abbrlink: 31315
date: 2020-02-10 20:46:36
ATT&CK矩阵-发现-系统服务发现
简介
攻击者通过发现系统注册服务,用于进一步的攻击动作。
测试用例
Windows
系统自带命令
tasklist /svc
net start
sc query
- Windows管理工具
第三方工具
- 火绒剑
火绒剑下载链接 - Virustotal
Virustotal下载链接
官方Windows版本已经停止更新,可采用第三方Github链接
下载链接
首次使用需要去配置api
- Windows服务管理器(SrvMan)
Windows Service Manager是一个小型工具,可简化与Windows服务相关的所有常见任务。它可以创建服务(Win32和旧版驱动程序),而无需重新启动Windows,删除现有服务和更改服务配置。它同时具有GUI和命令行 模式。它也可以用于将任意Win32应用程序作为服务运行(当该服务停止时,主应用程序窗口将自动关闭)。 下载链接
特点:
- 允许创建驱动程序和Win32服务,而无需重新启动。
- 同时支持GUI和命令行。
- 支持Windows的所有现代32位和64位版本
- 允许将任意Win32应用程序作为服务运行。
- 允许在单个命令行调用中安装和运行旧版驱动程序服务。
命令行选项
- 创建服务
- 删除服务
- 启动/停止/重启服务
- 一次调用即可安装并启动旧版驱动程序
参考链接:https://sysprogs.com/legacy/tools/srvman/
Linux
- 利用进程来查看
ps -aux | grep xxx 是查看某个进程或者服务是否存在。
- 利用
services命令
- 查看单个服务运行状态
service 服务名 status
- 查看所有服务的运行状态
service --status-all
service --status-all | grep running查看正在运行的服务
- 查看
systemd中服务
- 利用
chkservice查看chkservice是一个管理系统单元的终端工具,需要root权限,部分系统不自带,需要手动安装
MacOS
若有收获,就点个赞吧
0 人点赞
