- 2024-10-13【蓝队】Sysmon识别检测宏病毒
原创玄影实验室权说安全前言在不断变化的网络安全环境中,提前防范威胁是非常重要的。本文将以MicrosoftOffice宏病毒钓鱼为例,介绍如何使用Sysmon来获取和分析Windows系统日志,揭示隐藏的恶意或异常活动,了解入侵者和恶意软件如何在网络上运行。SysmonSysmon(系统监视
- 2024-06-13vivado HW_SYSMON
描述系统监视器HW_SYSMON是Xilinx上的一个模数转换器(ADC)电路用于测量诸如温度和电压之类的操作条件的设备。这个HW_SYSMON通过片上温度和电源监控物理环境传感器。ADC为一系列应用提供了高精度模拟接口。这个ADC最多可访问17个外部模拟输入通道。HW_SYSMON具有存储当前
- 2024-06-03简易PC蜜罐
蜜罐(PC终端版):从防守方的视角,利用欺骗伪装技术,实现主动对抗,及时诱捕、发现、处置、溯源,甚至反制攻击者。蜜罐作用一般是直接放入恶意程序,点击运行的,所以PC蜜罐需要起到的作用:1. 查看攻击者的操作行为,比如是否上传一些扫描工具、漏洞利用工具,进行攻击者画像。2.获取攻击
- 2024-04-1120212217刘恒谦-Exp4-恶意代码分析
一、实践过程记录1、系统运行监控(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,
- 2023-06-02Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的!
浏览器打开的域名: ss的请求: svchost出去的也有: 系统更新,也是svchost发出去的: ping的: nslookup的,看不到:GG!!! 这是一个简单的“pinggoogle.com”命令,导致事件22记录在SysmonWindows事件日志中:它可以监视几乎任何支持网络的Windows客户端软件
- 2023-06-01webshell后门中执行交互命令看到的sysmon数据采集和检测
下载phpstudy,链接:https://public.xp.cn/upgrades/phpStudy_64.zip,如下图启动wnmp。 webshell内容:<?phpecho"Yourresponseis:";?><?php@eval($_GET['cmd']);?>写入C:\phpstudy_pro\WWW下的shell.php文件。 浏览器执行命令:localhost/shell.php?cmd=syste
- 2023-06-01windows下通过net user add和powershell添加用户,sysmon仅仅采集到进程,而在windows安全日志可以看到账户添加信息
执行操作:C:\Windows\system32>netuser/add"jack""fuckoff"命令成功完成。C:\Windows\system32>powershellWindowsPowerShell版权所有(C)MicrosoftCorporation。保留所有权利。尝试新的跨平台PowerShellhttps://aka.ms/pscore6PSC:\Windows\system32&g
- 2023-06-01我的sysmon配置,默认配置就看到了进程采集,其他数据采集还是要配置下的
我的效果:运行:REGADDHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/veKey/tREG_SZ/d"powershell-filehelloword.ps1" 我的配置文件:Sysmon64.exe-cmyconfig.xml<!--sysmon-config|ASysmonconfigurationfocusedondefault
- 2023-04-05网络对抗实验四-恶意代码分析
Exp4恶意代码分析实验基础实验目标1.监控自己系统的运行状态,看有没有可疑的程序在运行。2.分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个