schtasks /create /TN netstat5218 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
/*TN TaskName缩写 */
/*sc 计时方式 */
/*TR TaskRun缩写 */
/*b表示显示可执行文件名,n表示以数字来显示ip和端口 */
/* > 重定向 */
date /t >> c:\netstat5318.txt
time /t >> c:\netstat5318.txt
netstat -bn >> c:\netstat5218.txt
右击“计算机”->“管理”,打开任务计划程序,查看任务计划程序库,可以看到刚刚创建的netstat5218
双击该任务,在“操作”选项卡中,编辑“程序或脚本”为C:\netstat5218.bat
在“常规”选项卡中,勾选使用最高权限运行
执行一段时间(我这里运行了4个小时左右)后,可以在netstat5218.txt看到本机的联网记录
将数据导入Excel
可以看到,这段时间联网最多的应用是爱奇艺客户端QyClient.exe,因为中午吃饭看了一会儿,其次联网较多的还有有道云笔记YoudaoNote.exe、QQ、360等
sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。
通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,您可以识别恶意或异常活动,并了解入侵者和恶意软件在您的网络上如何操作。
| 事件过滤器 | 含义 | 选项 |
|---|---|---|
| ProcessCreate | 进程创建 | UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine |
| FileCreateTime | 进程创建时间 | UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime |
| NetworkConnect | 网络连接 | UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName |
| ProcessTermina | 进程结束 | UtcTime, ProcessGuid, ProcessId, Image |
| DriverLoad | 驱动加载 | UtcTime, ImageLoaded, Hashes, Signed, Signature |
| ImageLoad | 镜像加载 | UtcTime, ProcessGuid, ProcessId, Image, ImageLoaded, Hashes, Signed, Signature |
| CreateRemoteTh | 远程线程创建 | UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction |
| RawAccessRead | 驱动器读取 | UtcTime, ProcessGuid, ProcessId, Image, Device |
| ProcessAccess | 进程访问 | UtcTime, SourceProcessGUID, SourceProcessId, SourceThreadId, SourceImage, TargetProcessGUID, TargetProcessId, TargetImage, GrantedAccess, CallTrace |
| FileCreate | 文件创建 | UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime |
| RegistryEvent | 注册表事件 | UtcTime, ProcessGuid, ProcessId, Image, EventType, TargetObject |
| FileCreateStre | 文件流创建 | UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, Hash |
<Sysmon schemaversion="4.12">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">360Se.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="include">
<ParentImage condition="end with">cmd.exe</ParentImage>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">360Se.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">360Se.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">360Se.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>注解及注意事项:
Sysmon schemaversion=为版本号,需要与下载的sysmon一致,否则无法安装include被过滤器保留的,黑名单;exclude被过滤器排出的,白名单插播一条:powershell和cmd的区别
你可以把powershell看成是命令行提示符cmd.exe的扩充,不对,应当是颠覆。 powershell需要.NET环境的支持,同时支持.NET对象。微软之所以将Powershell 定位为Power,并不是夸大其词,因为它完全支持对象。其可读性,易用性,可以位居当前所有shell之首。
1.shell可以说是cmd的升级版、补充版,shell在原来cmd基础上做了很多修改、调整的,且增加了很多命令及命令别名。
2.CMD和powershell都可以通过运行命令打开.
3.在powerShell中可以通过alias、gal或者get-alias命令查看原长命令及别名。
sysmon.exe -i C:\sysmon20165318.xml选择"Agree",安装成功
这一步中如果出现You need to launch Sysmon as an Adminsitrator报错,则需要用管理员身份打开命令行,我的电脑直接在搜索中找到cmd,而后右击,以管理员身份打开即可
右击“计算机”-> “管理”,进入“事件查看器”,进入路径应用程序和服务日志/ Microsoft/ Windows/ Sysmon/ Operational,可以看到按照配置文件的要求记录的新事件,及事件ID、任务类别、详细信息等。
用实验二的后门程序回连主机,并运行dir、shell、getuid等指令,可以看到出现了一个使用searchfilterhost.exe的事件
SearchFilterHost.exe是桌面搜索引擎的索引程序,其主要作用是建立快速索引文件,让用户能够更好的搜索出电脑中的任意资料。它会在计算机空闲时自动扫描索引位置的文件名、属性信息和给定类别的文件内容,这些索引位置默认包括桌面、收藏夹、开始菜单、系统目录。在搜索searchfilterhost.exe的时候,看到了这么一句话:
切记:SearchFilterHost.exe也可能是恶意软件所伪装,尤其是当它们存在于c:\windows或c:\windows\system32目录。
看来八成就是你了!
原文:https://www.cnblogs.com/zicerain/p/10666225.html