记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

网络安全之深入分析PsExec执行行为

2016-11-18 22:20

灵感来源

前段时间,我收到了Mark Russinovich的新书-《Troubleshooting with the Windows Sysinternals Tools(2nd Edition)》。拜读完这本大作之后,我脑海中便产生了撰写这篇文章的灵感。虽然我在上周就收到这本书了,但是我到现在仍然对它爱不释手。不仅因为这是一本非常棒的书,而且这本书的主题也是我非常感兴趣的一个方向。比如说,Mark的新书中提供了大量关于Windows DFIR的知识,而这些知识是我们很难在其他地方找到的。因此我建议对这方面话题感兴趣的同学赶紧入手这本书[亚马逊传送门]。

为了更好地理解我在这篇文章中所讲述的内容,我建议各位先在自己的测试环境中安装Windows Sysinternals Suite系统工具套件[下载地址]。

如果你此前并不了解DFIR,并且打算学习这方面内容以提升自己技能的话,我建议你赶紧入手这本书。在过去的几年里,我的工作就是对各种网络攻击事件进行调查和分析,我曾见到过有很多攻击者选择利用Sysinternals工具包来完成他们的攻击任务。不仅如此,有的攻击者甚至在攻击过程中的每一步都会使用这些工具。这些工具非常的流行,有的Windows用户甚至还会去抱怨Mark撰写这样的一本书,因为攻击者可以利用这本书中的内容来编写计算机病毒。

\

写给DFIR从业者的话:我建议各位一定要深入理解Sysinternals套件中各个工具的运行机制和实现原理。如果你可以做到这一点,那么当你在调查某个网络攻击事件时,你就可以在不需要对恶意软件进行逆向工程分析的情况下了解这款恶意软件的工作机制。如果你能够知道攻击者如何去利用这些工具,你就可以模拟他们的攻击行为,了解他们的操作方法,并且更加清楚地了解到你所在的整个环境可能会存在怎样的攻击面。

写给威胁检测人员的话:你可以通过追踪Sysinternals工具所抛出的异常来迅速检测到环境中可能存在的安全威胁。在本文接下来的内容中,我将会告诉大家如何对该套件中的部分工具进行追踪与分析。

知识来源: www.2cto.com/article/201611/568331.html

阅读:67559 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“网络安全之深入分析PsExec执行行为”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云