本發(fā)明公開了一種基于windows日志及痕跡捕捉技術對powershell惡意活動的檢測方法，所述方法為：收集常見利用powershell編寫的工具，根據(jù)工具利用方式進行整理；通過使用轉儲文件提取powershell歷史記錄；后臺整理對比之前收集的利用powershell執(zhí)行的工具，通過對比出的命令確定攻擊者使用powershell工具獲取并留下的后門；通過對比找到后門并根據(jù)發(fā)現(xiàn)的攻擊后門對終端進行加固。本發(fā)明解決了現(xiàn)有技術中無法對powershell攻擊記錄進行提取分析的問題。

技術領域

本發(fā)明涉及網絡安全技術領域，具體涉及一種基于windows日志及痕跡捕捉技術對powershell惡意活動的檢測方法。

背景技術

PowerShe11是一種命令行工具，黑客可以利用PowerShe11惡意腳本對計算機設備進行攻擊。隨著越來越多的殺毒軟件增強了對PowerShe11惡意腳本的檢測查殺，黑客開始使用各種各樣的方式對PowerShe11惡意腳本進行混淆，以降低PowerShe11惡意腳本被查殺的機率，阻止殺毒軟件和安全人員對其進行檢測分析。

PowerShell中的命令被稱為cmdlet。可單獨使用每個cmdlet，但只有結合使用它們來執(zhí)行復雜的任務時，才能發(fā)揮它們的作用。與許多Shell類似，可通過PowerShell訪問計算機上的文件系統(tǒng)。通過PowerShell提供程序，可像訪問文件系統(tǒng)一樣輕松訪問其他數(shù)據(jù)存儲(例如注冊表和證書存儲)。可使用編譯的代碼或腳本自行創(chuàng)建cmdlet和函數(shù)模塊。模塊可以向shell添加cmdlet和提供程序。PowerShell還支持類似于UNIX shell腳本和cmd.exe批處理文件的腳本。目前，powershell執(zhí)行命令與cmd執(zhí)行命令沒有很大區(qū)別，都需要在執(zhí)行界面輸入命令進行執(zhí)行操作。但是powershell無法使用wireshark等抓包工具進行抓取流量，然后分析處理。難以對powershell攻擊行為進行準確記錄。

發(fā)明內容

為此，本發(fā)明提供一種基于windows日志及痕跡捕捉技術對powershell惡意活動的檢測方法，以解決現(xiàn)有技術中無法對powershell攻擊記錄進行提取分析的問題。

為了實現(xiàn)上述目的，本發(fā)明提供如下技術方案：

本發(fā)明公開了一種基于windows日志及痕跡捕捉技術對powershell惡意活動的檢測方法，所述方法為：

收集常見利用powershell編寫的工具，根據(jù)工具利用方式進行整理；

通過使用轉儲文件提取powershell歷史記錄；

后臺整理對比之前收集的利用powershell執(zhí)行的工具，通過對比出的命令確定攻擊者使用powershell工具獲取并留下的后門；

通過對比找到后門并根據(jù)發(fā)現(xiàn)的攻擊后門對終端進行加固。

進一步地，所述收集常見利用powershell編寫的工具用于信息探測、特權提升、憑證竊取、持久化操作。

進一步地，所述powershell將歷史記錄存儲在Historyinfo對象中，！DumpHeapType HistoryInfo使用此命令將HistoryInfo信息找出。

進一步地，所述Historyinfo對象中輸入命令！DumpHeap/d-mt00007fffa5974008，生成地址列表，執(zhí)行地址address點擊指令，查看內核命令行cmdline。

進一步地，所述地址列表中，點擊000001811c951df8，得到一條powershell命令。

進一步地，所述內核命令行cmdline的偏移量進行查看，輸出相關指令，獲取整個歷史命令進行查看。