win10退出远程(win10退出远程桌面继续运行)

前沿拓展：

win10退出远程

1、第一在切换虚拟桌面的时候，都是点击Windows10任务栏的“来自任务视图”按钮。

2、在弹出的窗口中选择需要切

Xp/2003

540

3

**B远程登录成功

2008/2012/2016/win7/win8/win10

529

3

**B远程登录失败

2008/2012/2016/win7/win8/win10

4624

3

**B远程登录成功

2008/2012/2016/win7/win8/win10

4625

3

**B远程登录失败

六、启动项排查

黑客为了保持**能够开机启动、登录启动或者定时启动，通常会有相应的启动项，因此有必要找出异常启动项，并删除之。启动项的排查，这里引入一个非常好用的工具，工具名字Autoruns（官网www.sysinternals.com）。

1、自启动项

autoruns查看

注册表查看

**启动项

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

一次性启动项，下次启动会自动删除

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

32位程序启动项

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

通过以下路径放置程序也可以自启动程序

%appdata%MicrosoftWindowsStart MenuProgramsStartup

2、任务计划

autoruns查看

微软自带工具

taskschd.msc可启动系统自带任务计划程序，可以查看任务计划具体**作，显示所有正在运行的任务，并且可以开启任务历史记录。

注册表查看

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTree

有些任务计划做了隐藏可通过注册表查看，这里任务计划只有名称，如果想知道任务计划执行内容，可以结合任务计划历史记录日志看判断。

服务排查

通过tasklist /svc，可以查看每个进程所对应的PID和服务

使用autoruns查看

注册表查看

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices存储着所有的服务启动项

七、账户排查

查看用户最后一次登录，修改密码时间，以及账户是否启动。

net user xxx

通过PCHunter等工具可以查看隐藏用户，如添加$符号的隐藏账号，以及克隆账号。

八、宏**分析处置

现象：

EDR等杀软报宏**，**名提示类似于W97M、VBA、MSWor、Macro。

分析过程：

根据文件后缀其实就能看出，该word文档是带有宏代码的，m即为macro。

为了分析脚本内容，打开文件就会触发脚本运行，但如果禁用宏的话，打开文档是看不到脚本内容的。为了以静态方式提取样本，这里会使用到一个分析程序oledump.py(https://github.com/decalage2/oledump-contrib)

oledump.py是一个用于分析OLE文件（复合文件二进制格式）的程序，而word、excel、ppt等文档是OLE格式文件的，可以用它来提取宏代码。

先进行文件基础分析，可以看到A3这段数据被标记为“M”，“M”即表示Macro，说明这段数据是带有VBA代码的。

python oledump.py SSL.docm

接下来我们就需要将这段VBA代码提取出来，执行以下命令，可以看到VBA代码就被提取出来了。我们把他重定向到一个文件里即可。

python oledump.py -s A3 -v SSL.docm

这段代码其实比较简单。

1.先判断**作系统位数设置不同路径的rundll32.exe，第二通过CreateProcessA启动rundll32.exe。

2.通过VirtualAllocEx在rundll32进程里申请一段内存空间。

3.通过WriteProces**emory将myArray数组的内容，按字节写入到刚才申请的内存空间。

4.通过CreateRemoteThread在rundll32进程创建远程线程，入口点为刚才申请的内存空间首地址，并启动该线程。

综上所述，该代码为远程注入恶意代码到其他进程，可以判断为**。

九、勒索**

勒索**特征

1、文件被加密成统一后缀，无法使用。

2、桌面存在勒索信息文件，或勒索信息背景。

勒索信息文件里的一串二进制字符串，实际上是加密密钥，但它被其他算法又加密了一层。

加密原理

1.常见的勒索**加密算法为RSA+AES。

2.勒索**运行时会随机生成一串AES密钥，用该密钥来加密文件，加密结束后，使用RSA公钥对AES密钥进行加密，保存在本地。

3.解密需要**开发者提供RSA私钥，解密本地AES密钥文件，从而得到AES密钥来解密系统数据。

所以别寄希望于逆向分析来解密

十、sy**on**

sy**on为windows提供了更强大的**功能，但遗憾的是sy**on只支持2008以后的系统。

sy**on安装推荐xml文件下载链接

https://github.com/SwiftOnSecurity/sy**on-config

最常用的安装方式

sy**on.exe -accepteula -i -n

但上述方式不支持DNS记录，而且日志量会过大。

推荐安装命令，使用上述git里的配置，可支持DNS记录，并且可自行修改过滤器，记录自己需要的。

Sy**on64.exe -accepteula -i z-AlphaVersion.xml

卸载

sy**on.exe -u

日志通过**查看器查看，因为sy**on的日志是以evtx格式存储的。

具体**路径为

应用程序和服务日志-Microsoft-Windows-Sy**on-Operational

如下图所示，或者你直接去C盘指定路径查文件也行

如同windows自带的系统日志，安全日志有**ID一样，sy**on日志也有对应的**ID，最新版本支持23种**。

Event ID 1: Process creation

Event ID 2: A process changed a file creation time

Event ID 3: Network connection

Event ID 4: Sy**on service state changed

Event ID 5: Process terminated

Event ID 6: Driver loaded

Event ID 7: Image loaded

Event ID 8: CreateRemoteThread

Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

Event ID 11: FileCreate

Event ID 12: RegistryEvent (Object create and delete)

Event ID 13: RegistryEvent (Value Set)

Event ID 14: RegistryEvent (Key and Value Rename)

Event ID 15: FileCreateStreamHash

Event ID 17: PipeEvent (Pipe Created)

Event ID 18: PipeEvent (Pipe Connected)

Event ID 19: WmiEvent (WmiEventFilter activity detected)

Event ID 20: WmiEvent (WmiEventConsumer activity detected)

Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)

Event ID 22: DNSEvent (DNS query)

Event ID 255: Error

案例

常用的有**ID 1，**进程创建，恶意进程的创建，包括他的父进程，PID，执行命令等等。

之前遇到过一起，开启会自动运行powershell，但查了启动项，任务计划，wmi都没发现痕迹，苦苦无解，第二使用sy**on**进程创建，最终**是谁拉起了powershell，往上溯源找到是一个伪造成正常程序图标和后缀的link文件，存放在Startup目录下，链接到存放在另一处的vbs脚本。

下图即为进程创建**日志，可以看到几个关键点，创建的进程，命令行，以及父进程

**ID3，**网络连接，当恶意程序外连CC服务器或者矿池等**作的时候，可以**到是哪个进程发起的连接。这边也举个例子，之前遇到一种**，当你去用进程管理器或分析工具去查看时，该**会自动退出，防止被检测到，并且随机一段时间重启，但态势感知上发现确实有挖矿行为，使用sy**on**，当他不定时运行时，即可捕捉到他连接矿池的行为，从而**到进程。

下图为网络连接**日志，可以看到网络连接的五元组，和对应的进程。

**ID22，是这次重磅推出的新功能，DNS查询记录，这功能让应急响应人员可以很轻松的通过域名**到进程，并且你即使开启了dnscache服务，也能**到原先进程。dnscache是一个缓存服务，简单来讲，就是会**其他进程进行dns解析，并且会缓存解析结果，下一次解析就不再发送请求，读取缓存内容返回给指定程序即可。所以大家使用内存扫描工具，可能会**到dnscache服务进程。

在监测设备上发现可疑域名解析时，通过这个功能，可以轻松**到发起解析的进程，从而进一步分析进程文件是否确实有问题。

如下图所示，为dns查询日志，会记录解析域名和结果，以及对应的进程PID和路径。

拓展知识：

win10退出远程

win10系统如何开启或关闭远程桌面

win10退出远程

工具/原料

电脑
windows10**作系统
方法/步骤

在桌面上找到“此电脑”，右键选择“属性”

打开“属性”窗口后，在左侧栏找到并点击“远程设置”

在打开的窗口中，先将“允许远程协助连接这台计算机”前面的勾去掉，第二选择下面的“不允许远程连接到此计算机”，最后点击确定。

为了保险，将相关的服务业禁用掉。同时按住“win+R”键，调出运行窗口，在输入框中输入"services.msc"，并点击“确定”

在弹出的”服务“窗口中找到Remote desktop services这一项，并双击。

在弹出的该选项属性窗口中，启动类型选择”禁用“，第二点击”确定“即可。

END
注意事项

此**作与其他windows版本系统变化不大，其他版本也可参考此**作步骤

本回答被网友采纳