来自 CC防护 2021-07-14 00:21 的文章

高防IP_ddos防护手段有_超稳定

高防IP_ddos防护手段有_超稳定

挑战恶意软件作者可能会试图通过使用与某些常见Windows进程相同的名称来隐藏其进程。很常见,"主进程"已用于此目的。通过简单地查看一个系统很难捕捉到这一点,服务器防御CC软件,因为svchost.exe在典型的Windows系统上运行。例如,ddos怎么知道自己防御了多少,我的测试系统上有12个实例。解决方案svhost流程有两个方面值得特别关注:在哪里svhost.exe文件从哪里发射?我们希望它是C:\Windows\System32。的父进程或创建者进程svchost.exe进程本身?我们希望这是服务管理程序利用Sysmon提供进程名和父进程名我们需要一个日志源,它既可以提供启动进程的名称,也可以提供启动它的位置,以及父进程的名称。Windows 10之前的Windows版本在审核日志中不提供此信息,因此我们使用Microsoft SysInternals工具"Sysmon"来提供更深层次的可见性。Sysmon的现成处理规则实际上当前并没有将父进程分配给元数据字段,高防防御cc,所以我为创建了一个自定义规则来生成额外的元数据字段。(此更新将很快添加到知识库中的处理策略中。)然后,我们将实际进程及其父进程都放入元数据中:创建以异常父进程名称开头的AI引擎规则我们知道svchost应该由服务管理程序,所以我们查找任何名为svchost的进程,在哪里启动服务.exe不是其父进程:查找从任何其他位置启动的名为Svchost的进程最后,创建一个AI引擎规则来查找svchost.exe从磁盘上不寻常的位置开始。我们知道svchost位于C:\Windows\System32中,如何做好ddos的防御,因此我们查找从任何其他位置启动的名为svchost的进程:福利这个用例的主要好处是能够快速发现正常和异常行为之间的差异。这是打败攻击者的关键。这个人工智能引擎规则将立即揭露伪装成svchost的恶意软件的存在;即使它使用先进的隐形技术,例如最近发现的最新的bot恶意软件。LatentBot试图通过这个方法将它的一些活动隐藏起来。只有这样一个事实,ddos攻击的防御手段,即具有此特定名称的进程以不寻常的路径启动,或者父进程与预期的不同,都是恶意的指示器。通过利用logrymeth对Windows系统内部工具"sysmon"的内置解析支持,我们可以检测恶意svchost进程。更多来自安德鲁·霍利斯特跟踪组策略更改,第3部分  LinkedIn Twitter Facebook Reddit电子邮件