网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

网络安全工具团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 工具 > 网络安全工具 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

Python应用程序Attack Monitor：一款强大的终端检测和自动恶意软件动态分析软件

文章来源：牛创网络围观次数：

分享到:

摘要：Attack Monitor是一个Python应用程序，可帮助安全研究人员增强Windows 7 2008（及所有更高版本）工作站或服务器的安全监视功能，并即时动态分析恶意软件。

当前模式

1.终端检测（ED）

2.恶意软件分析（必须在特定的虚拟机环境中执行）

支持活动

1.Windows事件日志

2.Sysmon

3.看门狗（文件系统监视Python库）

4. TShark（仅支持恶意软件分析模式）

当前版本

Attack Monitor：v0.9.0（Alpha版）

工具演示

支持的操作系统

1.Windows 7、8、10（x86位或x64位）

2. Windows 2008、2012、2016（x86位或x64位）

工具相关组件

1，PowerShell 5

2.Sysmon（通过installer.py下载，配置和安装）

3. Python 3.6（64位）-对Python 3.x的理论支持

4. Tshark（仅恶意软件分析）

5，各种Python3库（requirements.txt）

6. StoneEngine库（第一版，高级Windows事件日志界面）

支持的系统事件

注意：其中某些事件仅支持恶意软件分析模式。

文件系统修改

允许的网络连接

PowerShell活动

流程创建

中小企业活动

计划任务

本地帐户修改

驱动器加载

元磁盘访问

注册表监视

管道事件

服务监控

日志审核

WMI监控

DNS请求捕获（通过Tshark）

工具安装端子检测模式

首先，将项目源代码从项目的GitHub存储库克隆到本地：

git clone https://github.com/yarox24/attack_monitor.git

转到本地项目目录，然后运行以下命令：

cmd.exe (Run as admin)

pip3 install -U -r requirements.txt

python installer.py sysmon

=> Choose endpoint detection mode

python installer.py psaudit

python installer.py auditpol

python installer.py install

=> Choose endpoint detection mode

python installer.py exceptions

[Apply section] Installation - How to enable WMI audit?

工具安装-恶意软件分析模式

cmd.exe (Run as admin)

pip3 install -U -r requirements.txt

python installer.py sysmon

=> Choose malware analysis mode

python installer.py psaudit

python installer.py auditpol

python installer.py install

=> Choose malware analysis mode

[Install tshark] https://www.wireshark.org/download.html // To default location

[Apply section] Installation - How to choose network interface for malware listening? // (currently only DNS)

[Apply section] Installation - How to enable WMI audit?

[Apply section] Installation - How to monitor specific directories?

如何启用WMI审核

compmgmt.msc

Services and Applications -> WMI Control -> Properties

Security -> Security -> Advanced -> Auditing -> Add

Select principal: Everyone

Type: All

Show advanced permissions:

Select all (Execute Methods ... Edit Security)

如何选择界面来侦听恶意软件？

编辑“ C：\ Program Files \ Attack Monitor \ config \ attack_monitor.cfg”文件，然后修改“ C：\ Program Files \ Attack Monitor \ config \ attack_monitor.cfg”参数。

如何确定接口名称？

TShark使用控制面板\网络和Internet \网络连接中的名称。默认名称为Ethernet0。

如何指定监视目录？

编辑文件“ C：\ Program Files \ Attack Monitor \ config \ monitored_directories.json”。对于恶意软件分析，我们建议研究人员监视目录“ C：\”下的所有事件，并添加其他相关目录。

工作机制

通过侦听事件源（Windows事件日志，Sysmon，文件系统修改和TShark）发送警报

2.根据“ config \ exceptions \ exception.json”的配置执行警报检测。该文件包含所有警报信息。对于终端检测，用户需要自定义要忽略的警报。为了进行恶意软件分析，您需要向目标系统添加例外。

3.如果exception.json文件中有警告，请返回第一步，否则继续下一步。

4.是否启用学习模式？如果启用，该工具将弹出一条警告消息，询问您是否需要根据正则表达式忽略此警报。

5.警告用户捕获事件并输出结果：

系统托盘气泡提醒。

警报信息将保存在logs \ .txt文件中。

本文由牛创网络整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

上一篇：Pigat：一种被动的信息收集和汇总工具
下一篇：网站遭到黑客入侵和篡改，导致Web界面异常，远程处理记一次IIS劫持处置

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

“互联网+”方案

重庆网站建设

备案图标渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证

网络安全工具团结互助，让我们共同进步！

Python应用程序Attack Monitor：一款强大的终端检测和自动恶意软件动态分析软件

热门资讯

关于我们

联系我们

“互联网+”方案