标签:网页 生成 常用 rust 照片 选择 很多 excel sha-1
使用schtasks /create /TN netstat5311 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
命令来创建任务netstat5311
TN
是TaskName的缩写,我们创建的计划任务名是netstat5318
;sc
表示计时方式,我们以分钟计时填MINUTE;TR
表示Task Run,要运行的指令是 netstatbn
表示显示可执行文件名,n
表示以数字来显示IP和端口;>
表示输出重定向,将输出存放在c:\netstatlog.txt
文件中新建一个脚本文件netstat5311.bat
然后拖至c盘目录下,写入以下内容
date /t >> c:\netstat5311.txt
time /t >> c:\netstat5311.txt
netstat -bn >> c:\netstat5311.txt
netstat5311.bat
批处理文件,确定即可<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
sysmon.exe -i sysmon5311.txt
,特别注意这里需要管理员权限(可以在运行cmd时右键获得管理员权限)webcam_snap
进行拍照,可以看到事件查看器中多了几条记录。由于kali中出现了报错,所以我们在事件查看器中就看到了Werfault.exe进程,该进程是windows系统自带的用于错误报告的程序。我们还看到了svchost.exe进程,也是windows系统自带的后台程序。ip.addr == 192.168.1.102
进行查看pwd``ls``webcam_snap
等命令,分析产生的数据包。使用webcam_snap
时产生了多条记录,应该是拍照时所需要的操作与占用的内存比较大导致。2019-2020-2 网络对抗技术 20175311胡济栋 Exp4 恶意代码分析
标签:网页 生成 常用 rust 照片 选择 很多 excel sha-1
原文地址:https://www.cnblogs.com/hujidong42/p/12699254.html