溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹Attack Monitor是一款什么軟件,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!
Attack Monitor是一款Python應用程序,可以幫助安全研究人員增強Windows 7/2008(及所有更高版本)工作站或服務器的安全監控功能,并且能夠自動對惡意軟件進行動態分析。
1、終端檢測(ED)
2、惡意軟件分析(須在特定虛擬機環境中執行)
1、Windows事件日志
2、Sysmon
3、Watchdog(文件系統監控Python庫)
4、TShark(僅支持惡意軟件分析模式)
當前版本
Attack Monitor:v0.9.0(Alpha版本)
1、Windows 7, 8, 10 (x86位或x64位)
2、Windows 2008, 2012, 2016 (x86位或x64位)
1、Powershell 5
2、Sysmon (通過installer.py下載、配置和安裝)
3、Python 3.6 (64-bit) - 理論支持Python 3.x
4、Tshark (僅惡意軟件分析)
5、各種Python3庫 (requirements.txt)
6、StoneEngine 庫(首次發布,高級Windows事件日志接口)
注意:其中部分事件僅支持惡意軟件分析模式。
文件系統修改
允許的網絡連接
PowerShell活動
進程創建
SMB活動
計劃任務
本地帳號修改
驅動器加載
元磁盤訪問
注冊表監控
管道事件
服務監控
日志審計
WMI監控
DNS請求捕捉(通過Tshark)
首先,從本項目的GitHub庫將項目源碼克隆至本地:
git clone https://github.com/yarox24/attack_monitor.git
切換到本地項目目錄,運行下列命令:
<Download newest release>cmd.exe (Run as admin)pip3 install -U -r requirements.txtpython installer.py sysmon => Choose endpoint detection modepython installer.py psauditpython installer.py auditpolpython installer.py install => Choose endpoint detection modepython installer.py exceptions[Apply section] Installation - How to enable WMI audit?
cmd.exe (Run as admin)pip3 install -U -r requirements.txtpython installer.py sysmon => Choose malware analysis modepython installer.py psauditpython installer.py auditpolpython installer.py install => Choose malware analysis mode[Install tshark] https://www.wireshark.org/download.html // To default location[Apply section] Installation - How to choose network interface for malware listening? // (currently only DNS)[Apply section] Installation - How to enable WMI audit?[Apply section] Installation - How to monitor specific directories?
compmgmt.mscServices and Applications -> WMI Control -> PropertiesSecurity -> Security -> Advanced -> Auditing -> AddSelect principal: EveryoneType: AllShow advanced permissions: Select all (Execute Methods ... Edit Security)
編輯“C:\Program Files\Attack Monitor\config\attack_monitor.cfg”文件,修改文件中的“ C:\Program Files\Attack Monitor\config\attack_monitor.cfg”參數。
TShark使用的名稱來自于控制面板\網絡和Internet\網絡連接,默認名為Ethernet0。
編輯文件“ C:\Program Files\Attack Monitor\config\monitored_directories.json”,針對惡意軟件分析,我們建議研究人員監控目錄“C:\”下的所有事件,并添加額外的相關目錄。
1、通過監聽事件源來發送警告(Windows事件日志、Sysmon、文件系統修改和TShark)
2、根據“config\exceptions\exception.json”的配置進行警報檢測,該文件中包含所有警報信息。針對終端檢測,需要用戶自定義要忽略的警報。針對惡意軟件分析,你需要針對目標系統添加例外情況。
3、如果exception.json文件中存在警告,則返回第一步,否則進行下一步。
4、學習模式是否啟用?如果啟用,工具則會彈出警告詢問是否需要忽略這條警報,需依據正則表達式。
5、警告用戶捕捉事件,并輸出結果:
系統托盤氣泡提醒。
警報信息將被保存在logs\.txt文件中。
以上是“Attack Monitor是一款什么軟件”這篇文章的所有內容,感謝各位的閱讀!希望分享的內容對大家有幫助,更多相關知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
