System.ArgumentOutOfRangeException: 索引和長度必須引用該字符串內的位置。 參數名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 无码精品久久久久久人妻中字,无码人妻品一区二区三区精99,国内精品人妻无码久久久影院导航 
  • 

  • 
<ul id="o6k0g"></ul>
    <ul id="o6k0g"></ul>
    

    

    
    
      
    
          
          
    
            
    
                
    
                    
    
                        
    
                            
    跟蹤Windows任務計劃程序創建進程的方法技術
    
                            
    技術編號:44290419 閱讀:12 留言:0更新日期:2025-02-14 22:24
    
                        
    
                        
    
                            
                            本申請實施例提供了一種跟蹤Windows任務計劃程序創建進程的方法,涉及信息安全技術領域。其中,方法包括:將包含上下文封送模塊的動態連接庫注入到任務計劃服務進程,通過所述動態連接庫將Windows事件跟蹤中的事件跟蹤API與上下文封送模塊中的鉤子函數進行掛鉤;通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤API中的參數信息,基于所述參數信息構建線程的任務上下文;安全代理模塊在收到進程創建的回調時,實現以下操作:判斷線程的任務上下文是否存在,在線程存在任務上下文的情況下,根據所述任務上下文對創建的進程進行操作。本申請提供的實施方式實現了對任務創建進程的精準捕獲。
    
                            
                            
    


    
                            

                            
    【技術實現步驟摘要】
    
                                
    本申請涉及信息安全,具體地涉及一種跟蹤windows任務計劃程序創建進程的方法、一種電子設備以及對應的存儲介質。

    技術介紹
    1、任務計劃程序可以自動執行,所以也經常被惡意軟件利用,實現其駐留、執行、提權等目標。另外,根據上面對任務計劃服務的實現機制描述,單純的從進程創建關系分析,是無法將任務計劃與其操作指定的進程創建關聯起來的。這個特性也能被惡意軟件利用,實現防御規避動作。
    2、舉例如下:惡意程序a.exe,創建2個任務計劃后即關閉:task-1:在系統空閑時,啟動powershell.exe,在其命令行中指定一個下載腳本,從某站點下載惡意程序b.exe。task-2:在系統啟動時,運行惡意程序b.exe。系統空閑時,task-1執行,任務計劃服務進程啟動powershell.exe進程(svchost.exe->powershell.exe),下載了b.exe。下次系統登錄時,task-2執行,任務計劃服務進程啟動b.exe。(svchost.exe->b.exe)在上述過程中,通過文件創建和進程啟動關系看(這兩種關系的分析,是防御系統最常用的手段),a.exe和b.exe都沒有直接關聯。攻擊者可以利用這種機制,把一整套惡意行為分散到多個任務計劃中執行,每個任務的執行都不足以觸發防御系統的報警,從而達成規避防御目標。
    3、即使通過某種手段能夠捕獲任務計劃的創建操作,也只能在a.exe與task-1、task-2之間建立聯系,但task-2與b.exe直接的關聯仍然是缺失的,在svchost.exe啟動b.exe時,即使在內核層捕獲進程創建的通知,并且通過調用棧分析,能夠判斷b.exe是由任務計劃程序服務進程啟動(windows運行時,會有多個svchost.exe進程,分別承載不同組別的系統服務),也無從得知是哪個具體的任務觸發的,存在巨大的安全風險。
    4、現有技術中存在一些借助etw采集事件的方法,但是其存在事后分析、無法支持實時、觸發信息不全面,以及無法確保精確的任務-進程關聯等問題。

    技術實現思路
    1、本申請實施例的目的是提供一種跟蹤windows任務計劃程序創建進程的方法,通過對schedsvc.dll和ubmp.dll的分析,可以確定在任務啟動進程的前后,會進行事件跟蹤相關的處理,以至少解決
    技術介紹
    中的部分問題。
    2、為了實現上述目的,在本申請中提供了一種跟蹤windows任務計劃程序創建進程的方法,該方法包括:將包含上下文封送模塊的動態連接庫注入到任務計劃服務進程,通過所述動態連接庫將windows事件跟蹤中的事件跟蹤api與上下文封送模塊中的鉤子函數進行掛鉤;通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤api中的參數信息,基于所述參數信息構建線程的任務上下文;安全代理模塊在收到進程創建的回調時,實現以下操作:判斷線程的任務上下文是否存在,在線程存在任務上下文的情況下,根據所述任務上下文對創建的進程進行操作。
    3、可選地,事件跟蹤api和所述鉤子函數均為多個,事件跟蹤api與上下文封送模塊中的鉤子函數進行對應掛鉤。
    4、可選地,所述事件跟蹤api包括:統一后臺進程管理器用于注冊windows事件跟蹤提供者的api,統一后臺進程管理器用于判斷是否需要發布指定事件的api,以及統一后臺進程管理器用于發布事件的api。
    5、可選地,所述事件跟蹤api為ntdll.dll庫中的與事件跟蹤相關的api;所述用于注冊windows事件跟蹤提供者的api為etweventregister,所述用于判斷判斷是否需要發布指定事件的api為etweventenabled,以及所述用于發布事件的api為etweventwrite。
    6、可選地,通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤api中的參數信息,包括:當事件跟蹤api被統一后臺進程管理器調用時,進入到所述事件跟蹤api對應的鉤子函數;通過所述事件跟蹤api對應的鉤子函數獲取事件跟蹤api中的參數信息。
    7、可選地,通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤api中的參數信息,基于所述參數信息構建線程的任務上下文,包括:從用于注冊windows事件跟蹤提供者的api中獲取全局唯一標識符,在所述全局唯一標識符為所述特定值的情況下,保存所述用于注冊windows事件跟蹤提供者的api所返回的第一句柄;從用于判斷是否需要發布指定事件的api中獲取第二句柄和第一發布事件標識,在第二句柄和第一句柄相同且第一發布事件標識為觸發器事件時,進行下一步處理;從用于發布事件的api中獲取第三句柄、第二發布事件標識和事件信息,在第三句柄和第一句柄相同且第二發布事件標識為觸發器事件時,從所述事件信息中提取任務的全路徑,由任務的全路徑構造出所述任務上下文。
    8、可選地,基于所述參數信息構建線程的任務上下文之后,所述方法還包括:將所述任務上下文設置到當前線程;其中,將所述任務上下文設置到當前線程,包括:將所述任務上下文直接設置到當前線程結構的特定字段中或者通過外部的線程至任務上下文的映射結構進行設置,以將所述任務上下文與所述當前線程進行關聯。
    9、可選地,根據所述任務上下文對創建的進程進行操作中的操作包括:根據預設策略所確定的阻斷操作、放行操作或者發送審計消息。
    10、可選地,所述方法還包括:在用于判斷是否需要發布指定事件的api被調用用于發布任務的動作結果事件時,對構建的上下文進行清除。
    11、在本申請中還提供了一種跟蹤windows任務計劃程序創建進程的裝置,該裝置包括:注入掛鉤模塊,用于將包含上下文封送模塊的動態鏈接庫注入到任務計劃服務進程,通過所述動態連接庫將windows事件跟蹤中的事件跟蹤api與上下文封送模塊中的鉤子函數進行掛鉤;獲取構建模塊,用于通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤api中的參數信息,基于所述參數信息構建線程的任務上下文;判斷執行模塊,用于安全代理模塊在收到進程創建的回調時,實現以下操作:判斷線程的任務上下文是否存在,在線程存在任務上下文的情況下,根據所述任務上下文對創建的進程進行操作。
    12、在本申請中還提供了一種電子設備,包括:至少一個處理器;存儲器,與所述至少一個處理器連接;其中,所述存儲器存儲有能被所述至少一個處理器執行的指令,所述至少一個處理器通過執行所述存儲器存儲的指令實現前述的跟蹤windows任務計劃程序創建進程的方法。
    13、在本申請中還提供了一種機器可讀存儲介質,該機器可讀存儲介質上存儲有指令,該指令在被處理器執行時使得處理器被配置成執行實現前述的跟蹤windows任務計劃程序創建進程的方法。
    14、在本申請中還提供了一種計算機程序產品,包括計算機程序,該計算機程序在被處理器執行時實現前述的跟蹤windows任務計劃程序創建進程的方法。
    15、上述技本文檔來自技高網...
                            
    
                            
    【技術保護點】
    
                                
    1.一種跟蹤Windows任務計劃程序創建進程的方法,其特征在于,該方法包括:
    2.根據權利要求1所述的方法,其特征在于,事件跟蹤API和所述鉤子函數均為多個,事件跟蹤API與上下文封送模塊中的鉤子函數進行對應掛鉤。
    3.根據權利要求1所述的方法,其特征在于,所述事件跟蹤API包括:
    4.根據權利要求3所述的方法,其特征在于,所述事件跟蹤API為NTDLL.DLL庫中的與事件跟蹤相關的API;
    5.根據權利要求1所述的方法,其特征在于,通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤API中的參數信息,包括:
    6.根據權利要求3所述的方法,其特征在于,通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤API中的參數信息,基于所述參數信息構建線程的任務上下文,包括:
    7.根據權利要求1所述的方法,其特征在于,基于所述參數信息構建線程的任務上下文之后,所述方法還包括:將所述任務上下文設置到當前線程;
    8.根據權利要求1所述的方法,其特征在于,根據所述任務上下文對創建的進程進行操作中的操作包括:
    9.根據權利要求4所述的方法,其特征在于,所述方法還包括:在用于判斷是否需要發布指定事件的API被調用用于發布任務的動作結果事件時,對構建的上下文進行清除。
    10.一種電子設備,其特征在于,包括:至少一個處理器;
    11.一種計算機可讀存儲介質,其上存儲有計算機程序/指令,其特征在于,該計算機程序/指令被處理器執行時實現權利要求1至9中任一項權利要求所述的跟蹤Windows任務計劃程序創建進程的方法的步驟。
    12.一種計算機程序產品,一種計算機程序產品,包括計算機程序/指令,其特征在于,該計算機程序/指令被處理器執行時實現權利要求1至9中任一項權利要求所述的跟蹤Windows任務計劃程序創建進程的方法的步驟。
    ...
                            
    
                            
    【技術特征摘要】
    
                                
    1.一種跟蹤windows任務計劃程序創建進程的方法,其特征在于,該方法包括:
    2.根據權利要求1所述的方法,其特征在于,事件跟蹤api和所述鉤子函數均為多個,事件跟蹤api與上下文封送模塊中的鉤子函數進行對應掛鉤。
    3.根據權利要求1所述的方法,其特征在于,所述事件跟蹤api包括:
    4.根據權利要求3所述的方法,其特征在于,所述事件跟蹤api為ntdll.dll庫中的與事件跟蹤相關的api;
    5.根據權利要求1所述的方法,其特征在于,通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤api中的參數信息,包括:
    6.根據權利要求3所述的方法,其特征在于,通過所述鉤子函數獲取系統的統一后臺進程管理器所調用的事件跟蹤api中的參數信息,基于所述參數信息構建線程的任務上下文,包括:
    7.根據權利要求1所述的方法,其特征在于,基于所述參數信息構建線程的...
                            
    
                            
    【專利技術屬性】
    
                                技術研發人員:周國華,
    
        申請(專利權)人:北京天融信網絡安全技術有限公司
    
        類型:發明
    
        國別省市:
    
                            
    
                            
                        
    
                    
    
                    
                    
                     
                
    
                
                
    
                    
    
                        網友詢問留言
                        已有0條評論
                    
    
                    
    
                        
    
                            
      
                                
    • 
                                
						

      還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。
      


                              
                            
    
                            
    
                                 1 

                            
    
                        
    
                        
                        
    
                            
    
                              
                            
    
                            
                        
    
                    
    
                
    
            
    
              
             
          
    
      
    
    
    

    
    
    




  


主站蜘蛛池模板:
国产成人精品无码一区二区三区|
无码专区国产无套粉嫩白浆内射|
国产拍拍拍无码视频免费|
免费无遮挡无码永久在线观看视频|
日韩少妇无码一区二区三区
|
亚洲国产成人精品无码区在线网站
|
91嫩草国产在线无码观看|
免费无码专区毛片高潮喷水|
人妻无码一区二区不卡无码av|
无码不卡中文字幕av|
久久午夜福利无码1000合集
|
久久无码精品一区二区三区|
亚洲不卡无码av中文字幕|
色综合久久中文字幕无码|
无码亚洲成a人在线观看|
亚洲性无码av在线|
国产强伦姧在线观看无码|
亚洲av无码一区二区三区四区
|
中文字幕无码乱码人妻系列蜜桃|
国产无码一区二区在线|
成人免费午夜无码视频|
亚洲gv猛男gv无码男同短文|
国产综合无码一区二区色蜜蜜|
亚洲综合无码无在线观看|
亚洲国产成人精品无码区在线秒播
|
亚洲熟妇无码一区二区三区|
国产爆乳无码一区二区麻豆|
日韩精品无码免费视频|
国产久热精品无码激情|
中文无码精品A∨在线观看不卡|
性无码专区无码片|
亚洲成AV人在线播放无码|
丰满日韩放荡少妇无码视频|
yy111111少妇影院无码|
性无码专区一色吊丝中文字幕|
妖精色AV无码国产在线看|
性色av无码不卡中文字幕|
亚洲AV蜜桃永久无码精品|
亚洲男人在线无码视频|
日韩精品无码人成视频手机|
中文字幕无码视频专区|