[發(fā)明專利]一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法在審

申請?zhí)枺?/td>	202111289226.4	申請日：	2021-11-02
公開（公告）號：	CN113987494A	公開（公告）日：	2022-01-28
發(fā)明（設(shè)計）人：	劉慶林;安恩慶;王奮凱;李微著;魏海宇;劉海洋;周鵬;馬偉利;吳小勇;李小瓊	申請（專利權(quán)）人：	北京中睿天下信息技術(shù)有限公司
主分類號：	G06F21/56	分類號：	G06F21/56;G06F21/57
代理公司：	北京知呱呱知識產(chǎn)權(quán)代理有限公司 11577	代理人：	張永維
地址：	100085 北京市海淀區(qū)***	國省代碼：	北京;11
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	一種基于 windows 日志痕跡捕捉技術(shù) powershell 惡意活動檢測方法
鉆瓜網(wǎng) 技術(shù)展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述方法為：

收集常見利用powershell編寫的工具，根據(jù)工具利用方式進(jìn)行整理；

通過使用轉(zhuǎn)儲文件提取powershell歷史記錄；

后臺整理對比之前收集的利用powershell執(zhí)行的工具，通過對比出的命令確定攻擊者使用powershell工具獲取并留下的后門；

通過對比找到后門并根據(jù)發(fā)現(xiàn)的攻擊后門對終端進(jìn)行加固。

2.如權(quán)利要求1所述的一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述收集常見利用powershell編寫的工具用于信息探測、特權(quán)提升、憑證竊取、持久化操作。

3.如權(quán)利要求1所述的一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述powershell將歷史記錄存儲在Historyinfo對象中，使用！DumpHeap Type HistoryInfo命令將HistoryInfo信息找出。

4.如權(quán)利要求3所述的一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述Historyinfo對象中輸入命令！DumpHeap/d-mt00007fffa5974008，生成地址列表，執(zhí)行地址address點(diǎn)擊指令，查看內(nèi)核命令行cmdline。

5.如權(quán)利要求4所述的一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述地址列表中，點(diǎn)擊000001811c951df8，得到一條powershell命令。

6.如權(quán)利要求4所述的一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述內(nèi)核命令行cmdline的偏移量進(jìn)行查看，輸出相關(guān)指令，獲取整個歷史命令進(jìn)行查看。

7.如權(quán)利要求6所述的一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述獲取的整個歷史命令對比powershell滲透工具，通過執(zhí)行的命令分析出攻擊者使用工具具體做了哪些操作，然后通過分析命令的功能對終端進(jìn)行排查。

8.如權(quán)利要求7所述的一種基于windows日志及痕跡捕捉技術(shù)對powershell惡意活動的檢測方法，其特征在于，所述通過執(zhí)行的命令分析出攻擊者使用工具具體做了哪些操作后，對分析結(jié)果進(jìn)行展示，細(xì)化出具體的攻擊路徑和攻擊手段。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會員可以免費(fèi)下載。

免登錄下載普通用戶下載升級VIP會員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京中睿天下信息技術(shù)有限公司，未經(jīng)北京中睿天下信息技術(shù)有限公司許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202111289226.4/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。

上一篇：一種剪持式腹腔鏡手術(shù)用多角度調(diào)整分離鉗
下一篇：一種自航能量自補(bǔ)給的深海發(fā)電及探測裝置

同類專利

專利分類

G 物理

G06 計算；推算；計數(shù)
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計算機(jī)或計算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備，如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程

免登錄下載普通用戶下載升級VIP會員，免費(fèi)下載

專利文獻(xiàn)下載

說明：

1、專利原文基于中國國家知識產(chǎn)權(quán)局專利說明書；

2、支持發(fā)明專利、實(shí)用新型專利、外觀設(shè)計專利（升級中）；

3、專利數(shù)據(jù)每周兩次同步更新，支持Adobe PDF格式；

4、內(nèi)容包括專利技術(shù)的結(jié)構(gòu)示意圖、流程工藝圖或技術(shù)構(gòu)造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進(jìn)行下載，點(diǎn)擊【登陸】【注冊】