Backtracking Intrusions (CCF A) 2003

1.ABSTRACT

分析入侵是一项艰巨的任务,主要是手工操作,因为系统管理员缺乏所需的信息和工具,无法轻松理解攻击中发生的步骤顺序。BackTracker的目标是自动识别入侵过程中可能发生的步骤序列。从单个检测点(例如,可疑文件)开始,BackTracker识别可能影响该检测点的文件和进程,并在依赖关系图中显示事件链。我们使用BackTracker分析了几个针对我们设置为“蜜罐”的计算机的真实攻击。在每种情况下,BackTracker都能够有效地突出用于进入系统的入口点,以及从入口点到我们注意到入侵点的步骤序列。支持BackTracker所需的日志记录增加了9%的运行时间开销,并为操作系统密集型工作负载每天生成1.2 GB的日志数据.

2.INTRODUCTION

2.1 Question

目前来(在2003年)说大多数的检测,它们不能提供攻击期间泄露的完整历史,大多数工具和信息来源的一般限制是将入侵者的动作(或由这些动作引起的状态)与合法用户的动作/状态混合在一起。即使在日志和磁盘状态包含足够的信息来理解攻击的情况下,识别从最初的妥协到检测点的事件序列在很大程度上仍然是一个手动过程。

2.2 Solution

这篇文章描述了一个叫做BackTracker的工具,它试图解决当前工具和信息源的不足,从而帮助管理员更容易地理解在攻击期间发生了什么。从一个检测点向后工作,BackTracker识别可能导致被检测到的修改的事件链。然后,管理员可以将她的侦查工作集中在这些事件链上,从而更快、更容易地识别漏洞。为了识别这些事件链,BackTracker记录了导致操作系统对象之间最直接依赖的系统调用(例如,创建进程,读取和写入文件)。BackTracker的目标是为大多数攻击提供有用的信息;它不能提供每一次可能的攻击的完整信息。相当于提供一个攻击链,通过这个链来关联攻击的历史活动

本文在两个组件中实现了Linux的BackTracker:一个在线组件记录事件,另一个离线组件绘制与攻击相关的事件。BackTracker目前跟踪许多(但不是所有)相关的操作系统事件。我们发现,这些事件可以在适当的时间和空间开销下被记录和分析,而BackTracker生成的输出有助于理解针对我们设置为“蜜罐”的计算机的几次真实攻击(本文是对设置好的蜜罐进行真实攻击测试效果

3.DESIGN OF BACKTRACKER

网络级日志为远程攻击提供了更多信息,但加密或混淆会使它们变得无用,应用程序级日志(如Apache的HTTP请求日志)语义丰富。但是,它们不提供攻击者自己程序的信息,而且它们可以被获得特权访问权的攻击者禁用。
BackTracker通过观察系统级对象(如文件、文件名、进程)和事件(如系统调用)来工作。这个级别是应用程序级别(语义丰富但易于禁用)和机器级别(难以禁用但语义较差)之间的折中。与应用程序级日志记录不同,系统级日志记录不能分离应用程序中的对象(例如,用户级线程),而是将应用程序视为一个整体。(虽然对内核进行攻击也可以扰乱系统级别的判断,但是那种攻击难度要大的多)。

3.1 Objects(对象)

本文作者提出了三种类型的系统级对象与BackTracker的分析相关:进程文件文件名

  1. 进程进程ID版本号唯一标识,BackTracker跟踪一个进程,从它被fork或克隆系统调用(可以理解为创建进程的系统调用)创建一直到进程结束。
  2. 文件包括特定于该文件的任何数据或元数据(如其内容、所有者或修改时间),文件由设备inode号版本号唯一标识。因为文件是用inode号而不是名称标识的,所以BackTracker跨重命名操作跟踪文件(意思应该是就是根据inode号来跟踪文件,所以文件即使重名了也能正确找到文件)
  3. 文件名对象是指将名称映射到文件对象的目录数据。文件名对象由规范名称唯一标识,规范名称是包含所有./和…/(应该是包含存储目录地址的),注意文件和文件名是不一样的,文件不通过文件名唯一标识。文件名更像是一种存储位置目录数据的记录

可以使用不同的粒度跟踪对象,而不是进程、文件和文件名。可以跟踪细粒度对象(如文件块)或粗粒度对象(如目录中的所有文件)。以更细的粒度跟踪对象可以减少错误依赖,但会更困难,并可能导致更高的开销(查的越细,开销越大)。

3.2 Potential Dependency-Causing Events(潜在的因果依赖事件)

依赖关系由三个部分指定:源对象接收对象时间间隔

  1. 例如,进程读取文件会导致该进程(接收对象)依赖于该文件(源对象)。
    使用时间间隔来减少错误的依赖。
  2. 例如,在时间10读取文件的进程并不依赖于在时间10之后对文件的写操作。时间是以递增的事件计数器来度量的。除非另有说明,事件的间隔时间从系统调用时开始,到系统调用返回时结束。
  3. 一些类型的事件(如共享内存访问)在较长的时间间隔内聚合为单个事件,因为很难确定单个事件的时间。(大概是说比如共享内存访问这种有较长事件间隔的多个事件聚合成为单个事件处理)

3.2.1 Process/Process Dependencies(进程和进程之间的依赖)

是指一个进程直接影响另一个进程执行的事件,一个进程可以通过创建它、与它共享内存或发出信号来直接影响另一个进程

  1. 如果一个进程创建了另一个进程,那么就存在一个父进程->子依赖关系,因为父进程初始化了子进程的存在,而且子进程的地址空间是用来自父进程地址空间的数据初始化的
  2. 除了传统的fork系统调用外,Linux还支持克隆系统调用,该调用创建共享父进程地址空间的子进程(这些线程本质上是内核线程)。通过克隆创建的子节点有一个附加的双向父节点<->子节点依赖于它们的父节点,这是由于它们共享的地址空间。(对于这个不太了解)

3.2.2 Process/File Dependencies(进程和文件之间的依赖)

是进程影响或受与文件关联的数据或属性影响的事件。例如,入侵者可以编辑密码文件(process->文件依赖),然后使用新密码文件(file->进程依赖)登录。

  1. writewritev这样的系统调用会导致进程->文件依赖(进程要求写文件)。像read、readv和execve这样的系统调用导致文件->进程依赖(将文件的东西读到进程中)。
  2. 文件也可以通过mmap(一种文件到内存的映射方式)映射到进程的地址空间,然后通过加载/存储指令访问。与进程间的共享内存一样,我们将映射文件访问聚合到单个事件中,从文件被mmap到进程退出的时间持续。这个保守的时间间隔允许BackTracker不跟踪单独的内存操作,也不跟踪文件的不映射或重新映射。(也就是说映射文件的访问也是聚合成为一个整体,当作一个事件来处理,只跟踪这一个大事件)映射文件的依赖方向取决于打开文件时使用的访问权限:将文件映射为只读会导致文件->进程依赖;映射文件只写导致进程->文件依赖;映射文件读写会导致一个双向过程<->文件依赖。当一个进程被创建时,它继承一个依赖关系,每个文件映射到它的父进程的地址空间。
  3. 进程还可以影响或受文件属性的影响,例如文件的所有者权限修改时间。修改文件属性的系统调用(如chown, chmod, utime)会导致进程>文件依赖(进程要要求修改文件属性)。系统调用读取文件属性(例如,fstat)会导致一个文件->进程依赖(读文件的信息到进程中)。事实上,任何指定文件的系统调用(例如,open、chdir、unlink、execve)如果在调用中指定的文件名存在,都会导致一个文件->进程依赖(因为该系统调用的返回值取决于文件的所有者和权限,文件会传给进程一个返回值告诉运行的结果)

3.2.3 Process/Filename Dependencies(过程和文件名之间的依赖)

任何包含文件名参数的系统调用(例如,open, create, link, unlink, mkdir, rename, rmdir, stat, chmod)都会导致一个文件名->进程依赖,因为系统调用的返回值取决于文件系统目录树中该文件名的存在。

3.3 Dependency Graphs(依赖图)

Time threshold(时间阈值)

首先明确一个概念time threshold时间阈值):

  1. 依赖图中的每个对象都有一个与之相关的时间阈值,该阈值是事件可能发生并被认为与该对象相关的最大时间。(依赖图中每个对象的阈值)
  2. GraphGen是用与检测点关联的对象初始化的,与该对象关联的时间阈值是管理员知道对象状态被破坏的最早时间(管理员了解的当前事件受到攻击的最早时间)(监测点关联对象的阈值)

算法设计:

  1. 我们假设管理员已经注意到被破坏的系统,并且能够识别至少一个检测点,从这个检测点开始,我们的目标是构建一个所有对象和事件的依赖关系图,这些对象和事件会对检测点的状态产生因果影响。
  2. BackTracker系统中构建依赖关系图的部分叫做GraphGen,GraphGen是离线运行的,即在攻击之后。
  3. 为了构建依赖关系图,GraphGen读取事件日志,从最后一个事件开始,一直读取到日志的开头。对于每个事件,GraphGen评估该事件是否会影响依赖关系图中当前的任何对象。
  4. 演化图中的每个对象都有一个与之相关的时间阈值,该阈值是事件可能发生并被认为与该对象相关的最大时间。GraphGen是用与检测点关联的对象初始化的,与该对象关联的时间阈值是管理员知道对象状态被破坏的最早时间。
  5. 因为日志是逆时间顺序处理的。

具体看下面这个由一个完整的依赖图经过GraphGen后生成一个更有用的依赖图的过程:
在的入图片描述
GraphGen用检测点初始化,检测点是时间10时的文件X。(也就是说,管理员知道文件X在时间10之前有错误的内容),也就是说现在文件X是有问题的,然后从后向前读日志,找到能直接影响或者间接影响文件X的活动

大体的思路就是A->B,如果B有问题,那么就把A加入,并且加一个边由A指向B。

  1. 时间点8,进程A创建进程D,与X没有任何关系,不进行处理
  2. 时间点7,C读文件2,与文件X没有任何关系,不进行处理
  3. 时间点6,C写文件X,添加节点C,并且C有一条边指向X这时C就有可能有问题了,那么其他对C有影响的点也可能有问题)
  4. 时间点5,C读文件1,C有问题,有可能是读文件1造成的,所以将文件1的节点加入,并且文件1有一条边指向C这时文件1也有可能有问题了
  5. 时间点4,进程A创建进程C,所以将A节点加入图中,并且A有一条边指向C这时进程A也可能有问题
  6. 时间点3,进程A读文件0,所以将文件0节点加入图中,然后文件0有一条边指向进程A,(这时文件0也有可能有问题)
  7. 时间点2,进程B写文件2,但是文件2对后面没有影响,所以不进行处理。
  8. 时间点1,进程B写文件1,1有问题,所以B到1有一条有向边
  9. 时间点0,进程A创建进程B,所以A到B有一条有向边

最后就是把图( b )变成了图 ( c ).得到的依赖关系图( c )是图( b )中的一个子集。我们认为,这种类型的图是导致检测点的事件的有用图,特别是如果它可以大幅减少管理员必须检查的对象和事件的数量,以了解攻击。

完整的算法稍微复杂一点,因为它必须处理跨越时间间隔的事件,而不是离散时间的事件。考虑一个场景,当前依赖图中有一个对象O,其时间阈值为t。如果在时间间隔[x-y]期间发生事件P->O,那么我们应该将P添加到依赖图中。如果将P添加到依赖图中,与P相关的时间阈值将是Min(t,y),因为事件在时间t之后对O没有相关影响,并且事件本身在时间y之后停止。(画一个图就比较好理解了)

(下面这个没看懂)(时间间隔到底什么意思?为什么最早在日志时间7遇到这个事件?)
具有间隔的事件将按照其间隔中的后一个时间顺序添加到日志中。这个顺序保证了GraphGen能够看到事件,并且能够尽快为该事件添加源对象(这样添加的源对象就可以被GraphGen随后处理的事件所影响)。
例如,考虑GraphGen如何处理图3b中的事件进程B->文件1,时间间隔为1-7。GraphGen会在日志时间7遇到这个事件,因为事件是按其间隔中较晚的时间排序的。此时,文件1还没有出现在依赖关系图中。GraphGen会记住这个事件,并在新对象被添加到依赖关系图时不断地重新评估它是否会影响新对象。当文件1被添加到图形中(日志时间为5)时,GraphGen看到事件进程B->文件1影响文件1,并将进程B添加到图形中。进程B的时间阈值是时间5(时间5和时间7的较小值)。

数据结构:

  1. GraphGen维护了几个数据结构来加速事件的处理。它的主要数据结构是当前依赖关系图中所有对象的哈希表,称为graphhobjectsGraphGen使用graphhobjects来快速确定正在考虑的事件是否会影响图形中已经存在的对象
  2. GraphGen还记得这些事件的时间间隔,其中包括日志中正在处理的当前时间。GraphGen将这些事件存储在objectsinterval哈希表中,该哈希表根据该事件的接收对象进行散列。当GraphGen向graphhobjects添加对象时,它会在新对象的时间阈值之前检查ObjectsIntervals哈希表中是否有任何事件影响新对象。
  3. GraphGen维护一个优先级事件队列,其间隔(interval)包括当前时间(按事件的开始时间排序)。优先级队列允许GraphGen快速查找和丢弃那些间隔已经不在当前时间的事件。(本文中的间隔到底指的什么东西?)

3.4Dependencies Tracked By CurrentPrototype(基于当前的模型进行依赖追踪)

本文设计的系统主要是跟踪高控制事件(也可以理解为高权限事件),攻击者通过使用高控制事件来执行攻击任务会更加容易,低控制事件的一些例子是更改文件的访问时间或在目录中创建一个文件名。尽管这些事件可能会影响其他进程的执行,但它们往往会在依赖关系图中产生高度的干扰(也就是说重点关注高控制事件,忽略低控制事件,减少干扰判断)一些使用了低控制事件的攻击也可以通过检测高控制事件一起检测到。

4.IMPLEMENTATION STRUCTURE FOR LOGGING EVENTS AND OBJECTS(记录事件和对象的结构的实现)

当计算机正在执行时,BackTracker必须记录关于对象和导致依赖的事件的信息,以启用依赖图分析。BackTracker中记录这些信息的部分称为EventLogger。入侵后,管理员可以在EventLogger生成的日志(或跨多次重启的日志串联)上离线运行GraphGen

本文给出了几种实现EventLogger的方法:

4.1 第一种方法是基于虚拟机的

首先介绍两个概念
1.1guest operating system(客户操作系统):装在虚拟机上的系统,客户进程在虚拟机内部的客户操作系统上运行。
1.2host operating system(主机操作系统):运行和管理虚拟机的系统,主机进程运行在主机操作系统上,整个虚拟机封装在一个主机进程中,EventLogger写入的日志被存储为一个主机文件(使用gzip压缩)。虚拟机监视器防止访客中的入侵者干扰EventLogger或其日志文件。

EventLogger通过检查虚拟机的状态来收集目标系统中有关事件和对象的信息。每当客户应用程序调用或从系统调用返回或来宾应用程序进程退出时,虚拟机监视器都会通知EventLogger。EventLogger通过虚拟机监视器传递的数据和虚拟机的物理内存(主机文件)来了解事件。EventLogger使用来自客户内核的头文件进行编译,并从客户的物理内存中读取客户内核数据结构,以确定事件信息(例如,系统调用参数)、对象标识(例如,文件inode编号、文件名、进程标识符)和依赖信息(例如,它读取客户进程的地址映射,以了解它从父进程继承了哪些mmap 'Ed文件)

值得注意的是,第一种方法是没有修改用户操作系统的,相当于是嵌入到主机操作系统中的
在这里插入图片描述
如上图所示,当客户应用程序调用或从系统调用返回时,或者当用户应用程序进程退出时,虚拟机监视器(VMM)内核模块调用内核过程(EventLogger)。EventLogger然后从虚拟机的物理内存中读取有关事件的信息。

4.2 不使用虚拟机

将EventLogger添加到目标操作系统中,而不使用虚拟机,为了保护EventLog的日志不受入侵者的攻击,可以将日志存储在远程计算机或本地计算机上受保护的文件中(因为GraphGen可以离线运行)。

4.3 推荐使用基于虚拟机的架构

  1. 我们使用基于虚拟机的结构的主要原因是利用ReVirt它使我们能够逐个指令地重播虚拟机的完整执行。这种以任意细节重放执行的能力允许我们在对EventLogger进行更改的同时捕获关于工作负载的完整信息(例如,真实的入侵)
  2. 如果没有ReVirt工作负载的能力,我们将只能分析在工作负载时运行的EventLogger版本捕获的信息(就是说只能分析静态的数据,没法捕捉到攻击在实际运行时候的真实情况,而有了ReVirt之后就可以重现这个过程)。这种能力对于分析真正的攻击尤其重要,因为真正的攻击者不会根据请求重新发布他们的工作负载。EventLogger可以在初始运行或重放运行期间记录事件和对象。
  3. 使用虚拟机的另一个原因是——目标操作系统不一定可信,如果攻击者获得了对客户操作系统的控制,那么她可以在客户内部执行任意任务,而不会被BackTracker跟踪,但是,即使攻击者获得了对客户操作系统的控制,ReVirt这个东西是虚拟机中主机系统的东西,不会被用户系统规避)也可以工作。

5.PRIORITIZING PARTS OF A DEPENDENCY GRAPH(对依赖关系图进行排序/过滤)

5.1过滤/优先级排序方法

由于通过GraphGen生成的依赖图过于庞大,对于一个系统来说处理这些信息过于困难,所以本节描述了对依赖关系图进行优先级排序筛选的几种方法,以便突出显示最有可能对理解入侵有帮助的部分。

  1. 忽略掉一些Objects(例如,登录程序读写文件/var/run/utmp。这些事件导致新的登录会话依赖于所有以前的登录会话)。虽然这些都是真正的依赖关系,但在开始分析入侵时,如果没有这些对象干扰图,然后在需要时添加这些对象,会更容易一些。
  2. 过滤掉一些Low-Control(低控制事件)

上面这两种过滤或者说是忽略,只适用于需要大幅度减少噪声(影响)而且忽略掉关键点的代价很小的情况下,因为过滤粒度太大,很容易就将有用的关键信息过滤掉。

剩下的这些的过滤规则不会冒着在攻击序列中间破坏重要链接的风险

  1. 第三种简化图形的方法是隐藏(hide)在分析的时间段内已读但未写的文件(只读文件),这些文件通常是默认配置文件或头文件,过滤掉只读文件不会破坏正在分析的日志中包含的任何攻击序列中的链接,因为该日志中没有影响这些文件的事件。
  2. 过滤掉从某个流程获取输入、对该输入执行简单函数、然后将数据返回给主进程的helper进程(应该就是一些简单的处理函数,只是把数据进行处理然后交给主进程)
  3. 挑选几个检测点,将这几个检测点构建的依赖图取交集,那么这些交集中的信息可能会含有一些关键信息。

这些过滤是可以通过编写配置文件正则表达式再添加到程序中的(也就是说有需要可以再编写),还有一些图可视化工具可以帮助更好的理解依赖图

5.2使用策略

作者推荐是先使用上面的这些过滤规则的一种或多种,在不同的日志周期多次运行GraphGen,这样在一开始可能会分析一份被过滤了很多信息的简短的日志文件,希望这个简短的日志文件包含了整个攻击的过程,如果发现无法理解整个过程或者缺少关键步骤,再关掉一些过滤,将更细节的东西展现出来。(由简到繁,简能看懂就不用取看繁)

6.EVALUATION(评估)

6.1 实验设置

为了模拟真实的环境,本文设置了蜜罐来诱导攻击,安装了RedHat 7.0的默认配置,这种配置很容易受到一些远程和本地攻击的攻击,攻击者入侵系统后,他们或多或少可以**自由支配(获取权限)**蜜罐——他们可以读取文件、下载、编译和执行程序,扫描其他机器,等等。

运用各种工具找到入侵者:

  1. 自制的模拟TripWire来检测对重要系统文件的更改
  2. 使用Ethereal和Snort来检测可疑的传入或传出网络流量
  3. 手动仔细查看系统,以查找任何意外的文件或进程。

6.2 进行过滤的重要性

6.2.1 Bind Attack

考虑我们在2003年3月12日经历的一次攻击,我们将其命名为Bind Attack

  1. 不经过任何过滤,GraphGen为这种攻击生成的依赖关系图包含5,281个对象和9,825个事件。
  2. 下图显示了GraphGen在过滤掉读取但未写入的文件后为这种攻击生成的依赖关系图。结果图包含575个对象和1,014个事件。(图的重要部分被圈起来或标记出来,以指出我们接下来讨论的过滤规则)(整个图还是有很多的噪声和干扰项)。
    在这里插入图片描述
  3. 下图显示了GraphGen应用以下过滤规则后绑定攻击的依赖关系图:忽略读但没写的文件;忽略文件/root/./var/run/lastlog, /var/run/utmp, /etc/mtab;忽略只从父进程接收输入并通过管道返回结果的helper进程
    在这里插入图片描述

这些过滤规则将图的大小减少到24个对象和28个事件,并使Bind Attack相当容易分析:
(应该是左边是用户,右边是攻击者)
攻击者通过httpd获得访问权限,使用wget下载一个rootkit,然后将rootkit写入文件" /tmp/ /bind "。过了一段时间,其中一个作者登录到机器,注意到这个可疑的文件,出于好奇决定执行它,结果进程安装了许多修改过的系统二进制文件,包括/bin/login.此图显示BackTracker可以跨多个登录会话进行跟踪。如果攻击者在没有被注意(这里应该是指没有注意本文提出的这种GraphGen方法)的情况下安装了/bin/login,然后又登录了,我们就可以通过她使用修改过的/bin/login.从她的第二个会话中的一个检测点回溯到第一个会话。

6.2.2 Ptrace Attack

在这里插入图片描述
入侵者通过httpd获得访问权,使用wget下载一个tar归档文件,然后通过targzip解压缩该归档文件。然后入侵者使用不同的组身份执行ptrace程序。随后,我们通过查看进程列表中的ptrace进程来检测入侵。我们认为ptrace进程正在寻求利用Linux ptrace代码中的竞争条件来获得根访问权限

上面的两个图(图1和图6)表现出了BackTracker从单个日志中分离出两个混合攻击的能力(改变检测点可以为每种攻击生成不同的依赖图)

6.2.3 Openssl-too Attack

在这里插入图片描述
攻击者通过httpd获得访问权限,使用wget下载一个tar归档文件,然后使用targzip安装一组文件。然后攻击者运行openssl-too程序,该程序读取被解包的配置文件。当openssl-too进程开始扫描网络上的其他机器以寻找易受攻击的端口时,发现了入侵。

6.2.4 Self Attack

在这里插入图片描述
Self Attack比之前所遭受的真实攻击要复杂得多。我们通过httpd获得非特权访问,然后下载并编译一个利用sendmail本地漏洞的程序(sxp)。当sxp运行时,它使用objdumpsendmail二进制文件中查找重要地址,然后通过execl执行sendmail以溢出参数缓冲区并提供根shell。我们使用这个根shell将一个特权用户添加到密码文件中。稍后,我们使用这个新用户登录到计算机并修改/etc/xinetd.conf(修改配置文件)。这种攻击的检测点是修改过的/etc/xinetd.conf

这种攻击的目标之一是大量加载机器(提高机器的负载),以查看BackTracker能否将攻击事件与正常事件分开。在工作负载期间,我们持续运行SPECweb99基准来模拟web服务器的工作负载。为了进一步增加机器的压力,我们下载、解压缩并不断地编译Linux内核。我们还以根用户身份多次登录并读取/etc/xinetd.conf。依赖关系图显示BackTracker将这种合法活动与攻击区分开来。

6.2.5 EventLogger开销评估

  1. 对于真正的攻击,系统会长时间处于闲置状态。在这些运行中,EventLogger的平均时间和空间开销非常低,因为EventLogger只在应用程序积极使用系统时才会产生开销。
  2. 自我攻击的结果表示了一个极其繁忙的系统的时间和空间开销是怎样的。特别是,服务网页和编译Linux内核都会调用大量相关的系统调用。在这次运行中,EventLogger使系统减慢了9%,其压缩日志以每天1.2 GB的速度增长。虽然这是大量的数据,但现代硬盘足够大,可以存储几个月的日志流量。

6.2.6 GraphGen开销评估

GraphGen是在攻击之后运行的(离线),所以它的性能不像EventLogger那么重要。

7.ATTACKS AGAINST BACKTRACKER

本部分主要讲述怎么躲避BackTracker的检测,让其不进行报警或者将入侵行为隐藏在一个大的依赖图中。

  1. 入侵者可以通过攻击BackTracker分析或日志记录所依赖的层来挫败BackTracker。其中一个层是客户操作系统BackTracker的分析只有在它看到的事件和数据具有传统意义的情况下才是准确的。如果入侵者可以更改客户内核(例如,导致一个随机系统调用来创建进程或更改文件),那么他就可以在客户机器中完成任意任务,而不会被BackTracker跟踪。
  2. 攻击虚拟机监视器主机操作系统(攻击这个难度要比攻击客户操作系统难度大的多)。
  3. 如果入侵者只使用BackTracker还没有跟踪的低控制事件来执行序列中的一个步骤,那么他就可以打破跟踪的事件链(前面讲过,仅仅通过低控制事件很难完成攻击)。
  4. 入侵者也可以使用一个隐藏的通道来中断事件链,比如用户在一开始的阶段偷取了用户的密码,然后通过网络传播(隐藏的通道)给攻击者,然后在后面的节点使用偷取的密码登录实现入侵,BackTracker依赖于了解和跟踪系统状态变化的顺序,而入侵者对被盗密码的记忆不受这种跟踪的影响,这样依赖就断开了。
  5. 将自己的攻击痕迹隐藏在巨大的依赖图中(不过这种方法不太可行)
  6. 入侵者也可以通过混入无辜事件来隐藏自己的行为。GraphGen只包含那些可能影响检测点的事件,因此入侵者必须让它看起来像是无害的事件影响了检测点。例如,入侵者可以通过读取无辜进程所写的文件来暗示无辜进程。
  7. 攻击者可以在很长一段时间内执行所需的步骤序列,从而使入侵分析更加困难(比如现在的APT攻击)。攻击周期越长,EventLogger和GraphGen需要存储和分析的日志记录就越多
  8. 攻击者会在更改检测点之前读取所有最近写入的文件,从而牵连所有写入这些文件的进程(混淆)。

8.Conclusion

将来,计划跟踪更多导致依赖关系的事件,如System V IPC、信号和文件属性引起的依赖关系。我们还实现了一个跟踪依赖关系的工具。该工具和BackTracker的结合将允许我们从单个检测点开始,回溯以允许管理员识别入侵源,然后转发跟踪以识别其他受入侵影响的对象。向前跟踪时需要进行大量的研究来过滤错误的依赖关系,因为不像向后跟踪,入侵者可以很容易地导致依赖关系图爆炸,包括所有文件和进程。

查看全文
如若内容造成侵权/违法违规/事实不符,请联系编程学习网邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!

相关文章

  1. 金融机构电子签应用汇总:覆盖7类组织的30多种签署需求

    国家督促金融机构开展数字化转型&#xff0c;管理、服务逐渐数字化已经成为金融机构绕不开的必答题&#xff01; 金融机构电子签章普及应用政策背景&#xff1a; 年初&#xff0c;“十四五规划”和“2035年远景目标纲要”明确提出要“稳妥发展金融科技&#xff0c;加快金融机…...

    2024/3/6 10:21:50
  2. 电脑网速慢怎么办?手把手教你提升网速

    使用电脑过称中会遭遇多种问题。常见的就是网页出现未提示的情况&#xff0c;这是加载网页时间太长所引起的。 电脑网速慢怎么办&#xff1f;一个可以尝试的办法就是清空浏览器内存&#xff0c;但有的时候加载网页卡顿的情况是由电脑网速慢引起的&#xff0c;这种时候提到的办…...

    2024/3/6 10:21:50
  3. MySQL 数据库之 MMM 高可用架构构建

    文章目录一、MMM 概述1. 什么是 MMM2. 应用场景3. MMM 特点4. 关于 MMM 高可用架构的说明5. 用户及授权二、案例环境1. 服务器配置2. 服务器环境3. 修改主机名称三、案例实施1. 搭建 MySQL 多主多从架构(1) master1、master2、slave1、slave2 节点安装 mysql(2) 修改 master1 配…...

    2024/3/6 10:21:48
  4. 微信小程序开发之『弹出菜单』特效

    Page({data: {isPopping: false,//是否已经弹出animPlus: {},//旋转动画animCollect: {},//item位移,透明度animTranspond: {},//item位移,透明度animInput: {},//item位移,透明度},//点击弹出plus: function () {if (this.data.isPopping) {//缩回动画this.popp();this.setDat…...

    2024/3/29 14:41:12
  5. 移动端疑难杂症解决方案完全指南

    HTML 方向 调用系统功能 使用<a>能快速调用移动设备的电话/短信/邮件三大通讯功能&#xff0c;使用<input>能快速调用移动设备的的图库/文件。 这些功能方便了页面与系统的交互&#xff0c;关键在于调用格式一定要准确&#xff0c;否则会被移动端浏览器忽略。 …...

    2024/3/22 7:13:23
  6. 搭建蓝莲花xss测试平台

    下载地址github : https://github.com/trysec/BlueLotus_XSSReceiver 一、 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识&#xff0c;多多进行实践&#xff0c;上网搜索了一下XSS平台有很多&#xff0c;但是总觉得不是很安全&#xff0c;这个毕竟敏感信息要传…...

    2024/3/8 19:14:36
  7. 2016-2027年全球与中国板翅式换热器行业市场深度调研及投资预测报告

    2016-2027年全球与中国板翅式换热器行业市场深度调研及投资预测报告 2020年中国板翅式换热器市场规模达到了 亿元&#xff0c;预计2027年可以达到 亿元&#xff0c;未来几年年复合增长率(CAGR)为 % (2021-2027)。 本报告研究中国市场板翅式换热器的发展现状及未来发展趋势&…...

    2024/3/6 10:21:44
  8. Python文件Exe化

    Section 1 - 创建纯python环境 创建一个python环境&#xff0c;最好32位的&#xff0c;这样执行生成的exe可以在32位系统和64位系统上运行&#xff0c;此外&#xff0c;打包编译的exe也不至于过于庞大&#xff0c;以及出现总是打包不成功的问题。 Section 2 - 执行pip instal…...

    2024/3/28 22:29:32
  9. 2021-10-27-前端面试题-005

    一、简答题 1. 简述git fetch命令和git pull命令的区别&#xff0c;它们都在什么情况下使用&#xff1f; fetch命令和pull命令都是从远程仓库拉取更新的命令 fetch命令直接从远程仓库拉取指定分支的更新到本地对应的分支 pull命令从远程仓库拉取指定的分支更新到本地并合并到当…...

    2024/3/6 10:21:43
  10. FPGA基础知识----第三章 第1节 Verilog 的历史

    第1节 Verilog 的历史 在传统硬件电路的设计方法中&#xff0c;当设计工程师需要设计一个新的硬件、数字电路或数字逻辑系统时&#xff0c;需要为此设计并画出一张线路图&#xff0c; 随后在 CAE&#xff08;计算机辅助工程分析&#xff09;工作站上进行设计。所设计的线路图由…...

    2024/3/6 10:21:42
  11. 解决 echarts 打印不显示的问题

    关于echarts图表打印不显示的问题,搜遍了度娘…记录一个完整的解决方案 此代码是存放将图表转换成图片 存放在img标签中 <img src="" alt="" id="pchart" style="display: none;"> <div id="tjDivDay" style=&q…...

    2024/3/6 10:21:41
  12. 程序员在火车站写代码遭围攻,程序员:没见过世面?

    往期好文推荐 0基础不用怕&#xff0c;从0到1轻松教你入门Python python系统学习流线图&#xff0c;教你一步一步学会python 大过节的&#xff0c;许多在外打拼的人们纷纷奔向回家的路程&#xff0c;原本该是欢声笑语的一路&#xff0c;可是却因为工作缠身而显得有些那么不美…...

    2024/3/29 17:44:17
  13. 2020icpc上海 Mine Sweeper II (思维)

    题目链接&#xff1a;B-Mine Sweeper II_第 45 届国际大学生程序设计竞赛&#xff08;ICPC&#xff09;亚洲区域赛&#xff08;上海&#xff09; (nowcoder.com)a 题目大意&#xff1a;给你两个大小为 n * m 的扫雷图 A, B&#xff0c;扫雷中格子上可能有雷也可能有数字&#…...

    2024/3/4 15:06:01
  14. 给TCP进行“拍片”

    上次谈到三次握手、四次挥手&#xff0c;相信有许多小伙伴还是不能理解&#xff0c;本讲就进行深入讲解。 1.为什么需要三次握手&#xff1f; 我们进行三次握手主要是为了保证面向连接。 2.TCP的传输方式-------双全工 2.1.传输方式主要有三种---单工、半双工、全双工 2.2.单…...

    2024/3/28 20:58:46
  15. 2021-2027中国电容触控传感器IC市场现状及未来发展趋势

    2021-2027中国电容触控传感器IC市场现状及未来发展趋势 本报告研究中国市场电容触控传感器IC的生产、消费及进出口情况&#xff0c;重点关注在中国市场扮演重要角色的全球及本土电容触控传感器IC生产商&#xff0c;呈现这些厂商在中国市场的电容触控传感器IC销量、收入、价格、…...

    2024/3/4 15:05:59
  16. 最全​蚂蚁4面成功拿到offer,面经分享,(附高频面试题合集)

    因疫情影响从过完年就一直呆在家里&#xff0c;索性学点知识也方便以后跳槽涨薪&#xff0c;于是从二月份开始学习阿里P8架构师纯手打的一份Java面经手册&#xff0c;没想到5月初我成功从我们三线的一个小公司跳槽进了阿里&#xff0c;虽然等级不高&#xff0c;但是薪资在我原来…...

    2024/3/27 15:29:00
  17. 车载SOC计算芯片典型架构

    如下图是车载人工智能芯片的典型架构。按照承担的不同计算类型和任务进行分类&#xff0c;主要计算模块分为两类:CPU和 NPU。通常来说&#xff0c;CPU 做通用的逻辑计算&#xff0c;NPU 适合面向环境感知的 A1 计算。 主要计算模块包括&#xff1a; (1)CPU 除进行与 AI 处理相…...

    2024/3/6 10:21:38
  18. 盐城造价信息价期刊电子版扫描件PDF下载方法讲解

    江苏盐城这里做造价的人并不多&#xff0c;最近接到了一个开发区代理预算的小厂房项目&#xff0c;特别找人咨询了一下盐城造价行业的套路&#xff0c;也顺便问清楚了盐城信息价是怎么弄的&#xff0c;一般《盐城工程造价》信息价期刊都是通过盐城住建局去订购的&#xff0c;每…...

    2024/3/23 23:35:02
  19. pig的 Replicated Join 失败

    在使用pig的特殊join是报了类似下边的错误‘发现这是pig的bug地址为 https://issues.apache.org/jira/browse/PIG-3725 错误信息Join_6, MergeJoin_5, Join_8, Join_7, MergeJoin_2, MergeJoin_3, MergeJoin_8, MergeJoin_1, MultiQuery_14, MergeJoin_4, MergeJoin_9, Merge…...

    2024/3/6 10:21:36
  20. FYP autoencoder

    自编码 介绍 仅仅是自编码器的话&#xff0c;其原理其实很简单。自编码器可以理解为一个试图去还原其原始输入的系统。自编码器模型如下图所示。 从上图可以看出&#xff0c;自编码器模型主要由编码器&#xff08;Encoder&#xff09;和解码器&#xff08;Decoder&#xff0…...

    2024/3/28 23:30:03

最新文章

  1. qt5.12.12 多线程的方法

    这里两个实例大家下载看吧 QThread 我把控件传入了QThread 用run进行操作控件 std::thread QThread...

    2024/3/29 18:33:52
  2. 梯度消失和梯度爆炸的一些处理方法

    在这里是记录一下梯度消失或梯度爆炸的一些处理技巧。全当学习总结了如有错误还请留言&#xff0c;在此感激不尽。 权重和梯度的更新公式如下&#xff1a; w w − η ⋅ ∇ w w w - \eta \cdot \nabla w ww−η⋅∇w 个人通俗的理解梯度消失就是网络模型在反向求导的时候出…...

    2024/3/20 10:50:27
  3. neo4j相同查询语句一次查询特慢再次查询比较快。

    现象&#xff1a; neo4j相同查询语句一次查询特慢再次查询比较快。 分析&#xff1a; 查询语句 //查询同名方法match(path:Method) where id(path) in [244333030] and NOT path:Constructor//是rpc的方法match(rpc_method:Method)<-[:DECLARES]-(rpc_method_cls:Class) -…...

    2024/3/29 17:43:44
  4. 网络工程师笔记15(OSPF协议-2)

    OSPF协议 OSPF是典型的链路状态路由协议&#xff0c;是目前业内使用非常广泛的 IGP 协议之一。 Router-ID(Router ldentifier&#xff0c;路由器标识符)&#xff0c;用于在一个 OSPF 域中唯一地标识一台路由器。Router-ID 的设定可以通过手工配置的方式&#xff0c;或使用系统自…...

    2024/3/29 16:44:31
  5. 【计算机视觉】三、图像处理——实验:图像去模糊和去噪、提取边缘特征

    文章目录 0. 实验环境1. 理论基础1.1 滤波器&#xff08;卷积核&#xff09;1.2 PyTorch:卷积操作 2. 图像处理2.1 图像读取2.2 查看通道2.3 图像处理 3. 图像去模糊4. 图像去噪4.1 添加随机噪点4.2 图像去噪 0. 实验环境 本实验使用了PyTorch深度学习框架&#xff0c;相关操作…...

    2024/3/28 21:21:42
  6. 【外汇早评】美通胀数据走低,美元调整

    原标题:【外汇早评】美通胀数据走低,美元调整昨日美国方面公布了新一期的核心PCE物价指数数据,同比增长1.6%,低于前值和预期值的1.7%,距离美联储的通胀目标2%继续走低,通胀压力较低,且此前美国一季度GDP初值中的消费部分下滑明显,因此市场对美联储后续更可能降息的政策…...

    2024/3/29 18:08:39
  7. 【原油贵金属周评】原油多头拥挤,价格调整

    原标题:【原油贵金属周评】原油多头拥挤,价格调整本周国际劳动节,我们喜迎四天假期,但是整个金融市场确实流动性充沛,大事频发,各个商品波动剧烈。美国方面,在本周四凌晨公布5月份的利率决议和新闻发布会,维持联邦基金利率在2.25%-2.50%不变,符合市场预期。同时美联储…...

    2024/3/29 18:08:34
  8. 【外汇周评】靓丽非农不及疲软通胀影响

    原标题:【外汇周评】靓丽非农不及疲软通胀影响在刚结束的周五,美国方面公布了新一期的非农就业数据,大幅好于前值和预期,新增就业重新回到20万以上。具体数据: 美国4月非农就业人口变动 26.3万人,预期 19万人,前值 19.6万人。 美国4月失业率 3.6%,预期 3.8%,前值 3…...

    2024/3/29 2:45:46
  9. 【原油贵金属早评】库存继续增加,油价收跌

    原标题:【原油贵金属早评】库存继续增加,油价收跌周三清晨公布美国当周API原油库存数据,上周原油库存增加281万桶至4.692亿桶,增幅超过预期的74.4万桶。且有消息人士称,沙特阿美据悉将于6月向亚洲炼油厂额外出售更多原油,印度炼油商预计将每日获得至多20万桶的额外原油供…...

    2024/3/29 16:26:39
  10. 【外汇早评】日本央行会议纪要不改日元强势

    原标题:【外汇早评】日本央行会议纪要不改日元强势近两日日元大幅走强与近期市场风险情绪上升,避险资金回流日元有关,也与前一段时间的美日贸易谈判给日本缓冲期,日本方面对汇率问题也避免继续贬值有关。虽然今日早间日本央行公布的利率会议纪要仍然是支持宽松政策,但这符…...

    2024/3/29 5:19:52
  11. 【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响

    原标题:【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响近日伊朗局势升温,导致市场担忧影响原油供给,油价试图反弹。此时OPEC表态稳定市场。据消息人士透露,沙特6月石油出口料将低于700万桶/日,沙特已经收到石油消费国提出的6月份扩大出口的“适度要求”,沙特将满…...

    2024/3/29 18:08:00
  12. 【外汇早评】美欲与伊朗重谈协议

    原标题:【外汇早评】美欲与伊朗重谈协议美国对伊朗的制裁遭到伊朗的抗议,昨日伊朗方面提出将部分退出伊核协议。而此行为又遭到欧洲方面对伊朗的谴责和警告,伊朗外长昨日回应称,欧洲国家履行它们的义务,伊核协议就能保证存续。据传闻伊朗的导弹已经对准了以色列和美国的航…...

    2024/3/29 11:11:56
  13. 【原油贵金属早评】波动率飙升,市场情绪动荡

    原标题:【原油贵金属早评】波动率飙升,市场情绪动荡因中美贸易谈判不安情绪影响,金融市场各资产品种出现明显的波动。随着美国与中方开启第十一轮谈判之际,美国按照既定计划向中国2000亿商品征收25%的关税,市场情绪有所平复,已经开始接受这一事实。虽然波动率-恐慌指数VI…...

    2024/3/29 1:13:26
  14. 【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试

    原标题:【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试美国和伊朗的局势继续升温,市场风险情绪上升,避险黄金有向上突破阻力的迹象。原油方面稍显平稳,近期美国和OPEC加大供给及市场需求回落的影响,伊朗局势并未推升油价走强。近期中美贸易谈判摩擦再度升级,美国对中…...

    2024/3/29 8:28:16
  15. 【原油贵金属早评】市场情绪继续恶化,黄金上破

    原标题:【原油贵金属早评】市场情绪继续恶化,黄金上破周初中国针对于美国加征关税的进行的反制措施引发市场情绪的大幅波动,人民币汇率出现大幅的贬值动能,金融市场受到非常明显的冲击。尤其是波动率起来之后,对于股市的表现尤其不安。隔夜美国股市出现明显的下行走势,这…...

    2024/3/29 7:41:19
  16. 【外汇早评】美伊僵持,风险情绪继续升温

    原标题:【外汇早评】美伊僵持,风险情绪继续升温昨日沙特两艘油轮再次发生爆炸事件,导致波斯湾局势进一步恶化,市场担忧美伊可能会出现摩擦生火,避险品种获得支撑,黄金和日元大幅走强。美指受中美贸易问题影响而在低位震荡。继5月12日,四艘商船在阿联酋领海附近的阿曼湾、…...

    2024/3/29 18:07:15
  17. 【原油贵金属早评】贸易冲突导致需求低迷,油价弱势

    原标题:【原油贵金属早评】贸易冲突导致需求低迷,油价弱势近日虽然伊朗局势升温,中东地区几起油船被袭击事件影响,但油价并未走高,而是出于调整结构中。由于市场预期局势失控的可能性较低,而中美贸易问题导致的全球经济衰退风险更大,需求会持续低迷,因此油价调整压力较…...

    2024/3/29 9:57:23
  18. 氧生福地 玩美北湖(上)——为时光守候两千年

    原标题:氧生福地 玩美北湖(上)——为时光守候两千年一次说走就走的旅行,只有一张高铁票的距离~ 所以,湖南郴州,我来了~ 从广州南站出发,一个半小时就到达郴州西站了。在动车上,同时改票的南风兄和我居然被分到了一个车厢,所以一路非常愉快地聊了过来。 挺好,最起…...

    2024/3/29 0:49:46
  19. 氧生福地 玩美北湖(中)——永春梯田里的美与鲜

    原标题:氧生福地 玩美北湖(中)——永春梯田里的美与鲜一觉醒来,因为大家太爱“美”照,在柳毅山庄去寻找龙女而错过了早餐时间。近十点,向导坏坏还是带着饥肠辘辘的我们去吃郴州最富有盛名的“鱼头粉”。说这是“十二分推荐”,到郴州必吃的美食之一。 哇塞!那个味美香甜…...

    2024/3/29 18:06:57
  20. 氧生福地 玩美北湖(下)——奔跑吧骚年!

    原标题:氧生福地 玩美北湖(下)——奔跑吧骚年!让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 啊……啊……啊 两…...

    2024/3/29 17:27:19
  21. 扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!

    原标题:扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!扒开伪装医用面膜,翻六倍价格宰客!当行业里的某一品项火爆了,就会有很多商家蹭热度,装逼忽悠,最近火爆朋友圈的医用面膜,被沾上了污点,到底怎么回事呢? “比普通面膜安全、效果好!痘痘、痘印、敏感肌都能用…...

    2024/3/29 18:06:36
  22. 「发现」铁皮石斛仙草之神奇功效用于医用面膜

    原标题:「发现」铁皮石斛仙草之神奇功效用于医用面膜丽彦妆铁皮石斛医用面膜|石斛多糖无菌修护补水贴19大优势: 1、铁皮石斛:自唐宋以来,一直被列为皇室贡品,铁皮石斛生于海拔1600米的悬崖峭壁之上,繁殖力差,产量极低,所以古代仅供皇室、贵族享用 2、铁皮石斛自古民间…...

    2024/3/29 18:06:22
  23. 丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者

    原标题:丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者【公司简介】 广州华彬企业隶属香港华彬集团有限公司,专注美业21年,其旗下品牌: 「圣茵美」私密荷尔蒙抗衰,产后修复 「圣仪轩」私密荷尔蒙抗衰,产后修复 「花茵莳」私密荷尔蒙抗衰,产后修复 「丽彦妆」专注医学护…...

    2024/3/28 18:26:34
  24. 广州械字号面膜生产厂家OEM/ODM4项须知!

    原标题:广州械字号面膜生产厂家OEM/ODM4项须知!广州械字号面膜生产厂家OEM/ODM流程及注意事项解读: 械字号医用面膜,其实在我国并没有严格的定义,通常我们说的医美面膜指的应该是一种「医用敷料」,也就是说,医用面膜其实算作「医疗器械」的一种,又称「医用冷敷贴」。 …...

    2024/3/29 18:06:01
  25. 械字号医用眼膜缓解用眼过度到底有无作用?

    原标题:械字号医用眼膜缓解用眼过度到底有无作用?医用眼膜/械字号眼膜/医用冷敷眼贴 凝胶层为亲水高分子材料,含70%以上的水分。体表皮肤温度传导到本产品的凝胶层,热量被凝胶内水分子吸收,通过水分的蒸发带走大量的热量,可迅速地降低体表皮肤局部温度,减轻局部皮肤的灼…...

    2024/3/28 20:09:10
  26. 配置失败还原请勿关闭计算机,电脑开机屏幕上面显示,配置失败还原更改 请勿关闭计算机 开不了机 这个问题怎么办...

    解析如下&#xff1a;1、长按电脑电源键直至关机&#xff0c;然后再按一次电源健重启电脑&#xff0c;按F8健进入安全模式2、安全模式下进入Windows系统桌面后&#xff0c;按住“winR”打开运行窗口&#xff0c;输入“services.msc”打开服务设置3、在服务界面&#xff0c;选中…...

    2022/11/19 21:17:18
  27. 错误使用 reshape要执行 RESHAPE,请勿更改元素数目。

    %读入6幅图像&#xff08;每一幅图像的大小是564*564&#xff09; f1 imread(WashingtonDC_Band1_564.tif); subplot(3,2,1),imshow(f1); f2 imread(WashingtonDC_Band2_564.tif); subplot(3,2,2),imshow(f2); f3 imread(WashingtonDC_Band3_564.tif); subplot(3,2,3),imsho…...

    2022/11/19 21:17:16
  28. 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机...

    win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”问题的解决方法在win7系统关机时如果有升级系统的或者其他需要会直接进入一个 等待界面&#xff0c;在等待界面中我们需要等待操作结束才能关机&#xff0c;虽然这比较麻烦&#xff0c;但是对系统进行配置和升级…...

    2022/11/19 21:17:15
  29. 台式电脑显示配置100%请勿关闭计算机,“准备配置windows 请勿关闭计算机”的解决方法...

    有不少用户在重装Win7系统或更新系统后会遇到“准备配置windows&#xff0c;请勿关闭计算机”的提示&#xff0c;要过很久才能进入系统&#xff0c;有的用户甚至几个小时也无法进入&#xff0c;下面就教大家这个问题的解决方法。第一种方法&#xff1a;我们首先在左下角的“开始…...

    2022/11/19 21:17:14
  30. win7 正在配置 请勿关闭计算机,怎么办Win7开机显示正在配置Windows Update请勿关机...

    置信有很多用户都跟小编一样遇到过这样的问题&#xff0c;电脑时发现开机屏幕显现“正在配置Windows Update&#xff0c;请勿关机”(如下图所示)&#xff0c;而且还需求等大约5分钟才干进入系统。这是怎样回事呢&#xff1f;一切都是正常操作的&#xff0c;为什么开时机呈现“正…...

    2022/11/19 21:17:13
  31. 准备配置windows 请勿关闭计算机 蓝屏,Win7开机总是出现提示“配置Windows请勿关机”...

    Win7系统开机启动时总是出现“配置Windows请勿关机”的提示&#xff0c;没过几秒后电脑自动重启&#xff0c;每次开机都这样无法进入系统&#xff0c;此时碰到这种现象的用户就可以使用以下5种方法解决问题。方法一&#xff1a;开机按下F8&#xff0c;在出现的Windows高级启动选…...

    2022/11/19 21:17:12
  32. 准备windows请勿关闭计算机要多久,windows10系统提示正在准备windows请勿关闭计算机怎么办...

    有不少windows10系统用户反映说碰到这样一个情况&#xff0c;就是电脑提示正在准备windows请勿关闭计算机&#xff0c;碰到这样的问题该怎么解决呢&#xff0c;现在小编就给大家分享一下windows10系统提示正在准备windows请勿关闭计算机的具体第一种方法&#xff1a;1、2、依次…...

    2022/11/19 21:17:11
  33. 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”的解决方法...

    今天和大家分享一下win7系统重装了Win7旗舰版系统后&#xff0c;每次关机的时候桌面上都会显示一个“配置Windows Update的界面&#xff0c;提示请勿关闭计算机”&#xff0c;每次停留好几分钟才能正常关机&#xff0c;导致什么情况引起的呢&#xff1f;出现配置Windows Update…...

    2022/11/19 21:17:10
  34. 电脑桌面一直是清理请关闭计算机,windows7一直卡在清理 请勿关闭计算机-win7清理请勿关机,win7配置更新35%不动...

    只能是等着&#xff0c;别无他法。说是卡着如果你看硬盘灯应该在读写。如果从 Win 10 无法正常回滚&#xff0c;只能是考虑备份数据后重装系统了。解决来方案一&#xff1a;管理员运行cmd&#xff1a;net stop WuAuServcd %windir%ren SoftwareDistribution SDoldnet start WuA…...

    2022/11/19 21:17:09
  35. 计算机配置更新不起,电脑提示“配置Windows Update请勿关闭计算机”怎么办?

    原标题&#xff1a;电脑提示“配置Windows Update请勿关闭计算机”怎么办&#xff1f;win7系统中在开机与关闭的时候总是显示“配置windows update请勿关闭计算机”相信有不少朋友都曾遇到过一次两次还能忍但经常遇到就叫人感到心烦了遇到这种问题怎么办呢&#xff1f;一般的方…...

    2022/11/19 21:17:08
  36. 计算机正在配置无法关机,关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机...

    关机提示 windows7 正在配置windows 请勿关闭计算机 &#xff0c;然后等了一晚上也没有关掉。现在电脑无法正常关机以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容&#xff0c;让我们赶快一起来看一下吧&#xff01;关机提示 windows7 正在配…...

    2022/11/19 21:17:05
  37. 钉钉提示请勿通过开发者调试模式_钉钉请勿通过开发者调试模式是真的吗好不好用...

    钉钉请勿通过开发者调试模式是真的吗好不好用 更新时间:2020-04-20 22:24:19 浏览次数:729次 区域: 南阳 > 卧龙 列举网提醒您:为保障您的权益,请不要提前支付任何费用! 虚拟位置外设器!!轨迹模拟&虚拟位置外设神器 专业用于:钉钉,外勤365,红圈通,企业微信和…...

    2022/11/19 21:17:05
  38. 配置失败还原请勿关闭计算机怎么办,win7系统出现“配置windows update失败 还原更改 请勿关闭计算机”,长时间没反应,无法进入系统的解决方案...

    前几天班里有位学生电脑(windows 7系统)出问题了&#xff0c;具体表现是开机时一直停留在“配置windows update失败 还原更改 请勿关闭计算机”这个界面&#xff0c;长时间没反应&#xff0c;无法进入系统。这个问题原来帮其他同学也解决过&#xff0c;网上搜了不少资料&#x…...

    2022/11/19 21:17:04
  39. 一个电脑无法关闭计算机你应该怎么办,电脑显示“清理请勿关闭计算机”怎么办?...

    本文为你提供了3个有效解决电脑显示“清理请勿关闭计算机”问题的方法&#xff0c;并在最后教给你1种保护系统安全的好方法&#xff0c;一起来看看&#xff01;电脑出现“清理请勿关闭计算机”在Windows 7(SP1)和Windows Server 2008 R2 SP1中&#xff0c;添加了1个新功能在“磁…...

    2022/11/19 21:17:03
  40. 请勿关闭计算机还原更改要多久,电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机怎么办...

    许多用户在长期不使用电脑的时候&#xff0c;开启电脑发现电脑显示&#xff1a;配置windows更新失败&#xff0c;正在还原更改&#xff0c;请勿关闭计算机。。.这要怎么办呢&#xff1f;下面小编就带着大家一起看看吧&#xff01;如果能够正常进入系统&#xff0c;建议您暂时移…...

    2022/11/19 21:17:02
  41. 还原更改请勿关闭计算机 要多久,配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以...

    配置windows update失败 还原更改 请勿关闭计算机&#xff0c;电脑开机后一直显示以以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容&#xff0c;让我们赶快一起来看一下吧&#xff01;配置windows update失败 还原更改 请勿关闭计算机&#x…...

    2022/11/19 21:17:01
  42. 电脑配置中请勿关闭计算机怎么办,准备配置windows请勿关闭计算机一直显示怎么办【图解】...

    不知道大家有没有遇到过这样的一个问题&#xff0c;就是我们的win7系统在关机的时候&#xff0c;总是喜欢显示“准备配置windows&#xff0c;请勿关机”这样的一个页面&#xff0c;没有什么大碍&#xff0c;但是如果一直等着的话就要两个小时甚至更久都关不了机&#xff0c;非常…...

    2022/11/19 21:17:00
  43. 正在准备配置请勿关闭计算机,正在准备配置windows请勿关闭计算机时间长了解决教程...

    当电脑出现正在准备配置windows请勿关闭计算机时&#xff0c;一般是您正对windows进行升级&#xff0c;但是这个要是长时间没有反应&#xff0c;我们不能再傻等下去了。可能是电脑出了别的问题了&#xff0c;来看看教程的说法。正在准备配置windows请勿关闭计算机时间长了方法一…...

    2022/11/19 21:16:59
  44. 配置失败还原请勿关闭计算机,配置Windows Update失败,还原更改请勿关闭计算机...

    我们使用电脑的过程中有时会遇到这种情况&#xff0c;当我们打开电脑之后&#xff0c;发现一直停留在一个界面&#xff1a;“配置Windows Update失败&#xff0c;还原更改请勿关闭计算机”&#xff0c;等了许久还是无法进入系统。如果我们遇到此类问题应该如何解决呢&#xff0…...

    2022/11/19 21:16:58
  45. 如何在iPhone上关闭“请勿打扰”

    Apple’s “Do Not Disturb While Driving” is a potentially lifesaving iPhone feature, but it doesn’t always turn on automatically at the appropriate time. For example, you might be a passenger in a moving car, but your iPhone may think you’re the one dri…...

    2022/11/19 21:16:57