关于恶意DNS请求监控的一点小思路
最近研究了一下恶意DNS请求,调研了sysmon,发现win7下有坑,据说需要win8以上系统,然后也支持ubuntu 18以上系统,但是也有很多坑。为了避免掉进坑里,我使用win10虚拟机,这是我苹果电脑下创建的第5个虚拟机了。监控DNS请求,然后匹配情报,再对进程进行隔离,这不就是简单的终端安全管理吗?
这里安装
sysmon.exe -i
最关键的是DNS监控的配置文件[1]了
sysmon.exe -c sysmonconfig-export.xml
然后去【控制面板\系统和安全\管理工具\事件查看器\应用程序和服务日志\Microsoft\Windows\Sysmon】里面查看DNS记录,记住这里事件ID是22,这里我们请求谷歌,可以找到请求的进程~
日志路径如下:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx
当我打开的时候,发现并不是文本文件,幸运的是,我发现有python解析库(python-evtx),我们需要提取域名和进程,不过这都是后话了。
关于恶意DNS请求监控的一点小思路相关推荐
- 技术报告:APT组织Wekby利用DNS请求作为CC设施,攻击美国秘密机构
技术报告:APT组织Wekby利用DNS请求作为C&C设施,攻击美国秘密机构 最近几周Paloalto Networks的研究人员注意到,APT组织Wekby对美国的部分秘密机构展开了一次攻击 ...
- 硬核,学习 Java 的一点小建议(思维导图,建议收藏)!
CSDN 收到一条读者的私信,情真意切,所以我承诺他今天一定写篇文章好好回复他一下.先来看一下他的私信内容吧. 首先映入我的眼帘的是这个称呼--"老前辈",我一下子没忍住,笑了! ...
- invoke方法是做啥的_使用 NLog 给 Asp.Net Core 做请求监控
为了减少由于单个请求挂掉而拖垮整站的情况发生,给所有请求做统计是一个不错的解决方法,通过观察哪些请求的耗时比较长,我们就可以找到对应的接口.代码.数据表,做有针对性的优化可以提高效率.在 asp.ne ...
- 阿里云ARMS重磅推出小程序监控,助力小程序稳定运行
2018年是小程序蓬勃发展的一年,各大公司如腾讯.阿里.百度.头条等都陆续推出了自己的小程序,小程序已成为一个未来必然的趋势.移动互联网的新风口.据数据统计,目前已上线的微信小程序已超过100万,支付 ...
- 业务实时监控服务ARMS推出小程序监控支持各种小程序
阿里云ARMS业务实时监控服务全新推出小程序监控,支持多种小程序,阿里云百科网分享: ARMS小程序监控 阿里云ARMS小程序监控 ARMS全面监控小程序,三大特色助力提升用户体验: 覆盖各类小程序监 ...
- DNS云监控出现问题如何解决
DNS,相信大家都知道就是域名解析,能有效帮助网站和用户之间的联系,云监控就是对域名解析的监控,相对于给它多一层安全保护.今天小编来为大家介绍一下DNS云监控的相关内容. DNS云监控 云监控是DNS ...
- 关于发明专利申请的一点小常识
关于发明专利申请的一点小常识 我们日常所说的专利分为三种:1.发明专利,是指对产品.方法或者其改进所提出的新的技术方案:2.实用新型专利,是指对产品的形状.构造或者其结合所提出的适于实用的新的技术方案 ...
- Akamai发布《互联网现状》报告,亚太恶意DNS攻击剧增
近日,美国知名云服务技术提供商Akamai发布全新的<互联网现状>报告,该报告重点介绍了域名系统(DNS)攻击对亚太地区企业和消费者造成的威胁. 由于互联网的大多数应用都是通过 DNS 进 ...
- C语言实现DNS请求器
C语言实现DNS请求器 文章目录 C语言实现DNS请求器 项目介绍 前置知识 DNS介绍 DNS的分层 域名解析 递归查询和迭代查询 DNS协议报文格式 头部(Header) Queries(查询问题 ...
- php ci项目总结,分享关于php CI框架使用的一点小总结
最近频繁使用CI框架,这里主要是关于后台的开发,重点分享关于Model和Controller层的一点点总结: 1.涉及到交互数据库,我们先在database.php总添加我们需要使用的数据库的连接信息 ...
最新文章
- python中单个下划线是什么意思
- name选择器_这33个超级好用的CSS选择器,你可能见都没见过
- java批量事物管理_[疯狂Java]JDBC:事务管理、中间点、批量更新
- python绘图实例-Python中turtle绘图学习笔记和实例
- ConcurrentHashMap源码解析(2)
- 控制程序仅执行一次 php,PHP流程控制(1)
- AutoMake文档
- 你根本想象不到,学霸到底经历过什么
- 二分+01分数规划+最大化平均值 Dropping tests POJ - 2976
- boxoft wav to mp3漏洞分析
- PyQt5笔记(04) -- 文本框的使用
- 自学转行成前端工程师,三面拿下字节跳动offer
- 进位和借位问题的研究
- VC 无标题栏对话框移动
- Spring入门看这一篇就够了
- 研发管理 - 流程篇
- PS图层蒙版应用——图片抠字
- linux btrfs文件系统,btrfs 文件系统
- 项目如何在Linux系统后台运行以及调回前台运行
- Akka Actor模型的简介与Actor的创建方式