Ebe ọrụ onye ọrụ bụ ebe kachasị ngwa ngwa nke akụrụngwa n'ihe gbasara nchekwa ozi. Ndị ọrụ nwere ike ịnweta akwụkwọ ozi na email ọrụ ha nke yiri ka ọ sitere na ebe nchekwa, mana nwere njikọ na saịtị nje. Ikekwe mmadụ ga-ebudata ngwa bara uru maka ọrụ site na ebe amaghị. Ee, ị nwere ike wepụta ọtụtụ ikpe gbasara otu malware nwere ike isi bata akụrụngwa ụlọ ọrụ dị n'ime site na ndị ọrụ. Ya mere, ndị na-arụ ọrụ chọrọ nlebara anya ka ukwuu, na n'isiokwu a, anyị ga-agwa gị ebe na ihe omume ị ga-eme iji nyochaa ọgụ.
Iji chọpụta mwakpo n'oge izizi enwere ike, WIndows nwere isi mmalite mmemme atọ bara uru: Ndekọ Ihe Omume Nchekwa, Ndekọ Nyocha Sistemụ, na Ndekọ Shell Ike.
Ndekọ mmemme nchekwa
Nke a bụ ebe nchekwa bụ isi maka ndekọ nchekwa sistemụ. Nke a gụnyere mmemme nke nbanye/ ọpụpụ onye ọrụ, ịnweta ihe, mgbanwe amụma, yana mmemme ndị metụtara nchekwa. N'ezie, ọ bụrụ na a na-ahazi iwu kwesịrị ekwesị.
Ngụkọta ndị ọrụ na otu (ihe omume 4798 na 4799). Na mbido mbuso agha, malware na-achọkarị site na akaụntụ ndị ọrụ mpaghara yana otu mpaghara n'ebe a na-arụ ọrụ iji chọta nzere maka mmekọ ihe ndo ya. Ihe omume ndị a ga-enyere aka ịchọpụta koodu ọjọọ tupu ọ na-aga n'ihu na, iji data anakọtara, gbasaa na sistemụ ndị ọzọ.
Ịmepụta akaụntụ mpaghara yana mgbanwe na otu mpaghara (ihe omume 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 na 5377). Mwakpo ahụ nwekwara ike ịmalite, dịka ọmụmaatụ, site na ịgbakwunye onye ọrụ ọhụrụ na otu ndị nchịkwa mpaghara.
Mgbalị ịbanye na akaụntụ mpaghara (mmemme 4624). Ndị ọrụ a na-akwanyere ùgwù na-eji akaụntụ ngalaba na-abanye, na ịchọpụta nbanye n'okpuru akaụntụ mpaghara nwere ike ịpụta mmalite nke mwakpo. Ihe omume 4624 gụnyekwara nbanye n'okpuru akaụntụ ngalaba, yabụ mgbe ị na-ahazi ihe omume, ịkwesịrị inyocha ihe omume ebe ngalaba ahụ dị iche na aha ọrụ.
Mgbalị iji akaụntụ akọwapụtara (mmemme 4648) wee banye. Nke a na-eme mgbe usoro a na-agba ọsọ na "agba ọsọ" mode. Nke a ekwesịghị ime n'oge arụ ọrụ nkịtị nke sistemu, ya mere, a ghaghị ịchịkwa ihe omume ndị dị otú ahụ.
Ịkpọchi/ịkpọghe ebe a na-arụ ọrụ (ihe omume 4800-4803). Ụdị ihe omume enyo enyo gụnyere omume ọ bụla mere n'ebe a na-arụ ọrụ akpọchiri akpọchi.
Mgbanwe nhazi ọkụ ọkụ (ihe omume 4944-4958). N'ụzọ doro anya, mgbe ị na-etinye ngwanrọ ọhụrụ, ntọala nhazi nke firewall nwere ike ịgbanwe, nke ga-eme ka ọ dị mma. N'ọtụtụ ọnọdụ, ọ dịghị mkpa ịchịkwa mgbanwe ndị dị otú ahụ, ma ọ gaghị ewute gị ịmara banyere ha.
Jikọọ ngwaọrụ Plug'n'play (mmemme 6416 na naanị maka WIndows 10). Ọ dị mkpa ileba anya na nke a ma ọ bụrụ na ndị ọrụ anaghị ejikọta ngwaọrụ ọhụrụ na ebe a na-arụ ọrụ, ma na mberede ha na-eme.
Windows gụnyere ụdị nyocha 9 na ngalaba 50 maka imezigharị nke ọma. Opekempe nke obere ngalaba kwesịrị ịgbanye na ntọala:
Logon / Logoff
- Logon;
- Pụọ;
- Mkpọchi akaụntụ;
- Ihe omume Logon/Logoff ndị ọzọ.
Njikwa Akaụntụ
- Njikwa Akaụntụ Onye ọrụ;
- Njikwa otu nchekwa.
Mgbanwe amụma
- Mgbanwe amụma nyocha;
- Mgbanwe amụma nyocha;
- Mgbanwe amụma ikike.
Nyochaa Sistemu (Sysmon)
Sysmon bụ ngwa arụnyere na Windows nke nwere ike ịdekọ ihe omume na ndekọ sistemụ. Na-emekarị mkpa ka ị wụnye ya iche.
Enwere ike ịhụ otu ihe omume ndị a, n'ụkpụrụ, na ndekọ nchekwa (site na ịme ka usoro nyocha nyocha achọrọ), mana Sysmon na-enye nkọwa ndị ọzọ. Kedu ihe omume nwere ike iwere na Sysmon?
Ekepụta usoro (NJ mmemme 1). Ndekọ ihe omume nchekwa sistemụ nwekwara ike ịgwa gị mgbe * .exe malitere yana gosipụta aha ya na ụzọ mmalite ya. Mana n'adịghị ka Sysmon, ọ gaghị enwe ike igosi hash ngwa. Enwere ike ịkpọ ngwa ngwa ọjọọ notepad.exe adịghị emerụ ahụ, mana ọ bụ hash ga-eme ka ọ pụta ìhè.
Njikọ netwọkụ (NJ mmemme 3). N'ụzọ doro anya, enwere ọtụtụ njikọ netwọkụ, na ọ gaghị ekwe omume idobe ha niile. Mana ọ dị mkpa ịtụle na Sysmon, n'adịghị ka Log Nche, nwere ike jikọta njikọ netwọkụ na mpaghara ProcessID na ProcessGUID, ma gosipụta ọdụ ụgbọ mmiri na adreesị IP nke isi mmalite na ebe aga.
Mgbanwe na ndekọ sistemụ (NJ mmemme 12-14). Ụzọ kachasị mfe iji tinye onwe gị na autorun bụ ịdebanye aha na ndekọ. Log nchekwa nwere ike ime nke a, mana Sysmon na-egosi onye mere mgbanwe ndị ahụ, mgbe, site na ebe, nhazi ID na uru igodo gara aga.
Mepụta faịlụ (NJ mmemme 11). Sysmon, n'adịghị ka Log Nche, ga-egosi ọ bụghị naanị ebe faịlụ ahụ dị, kamakwa aha ya. O doro anya na ị nweghị ike idebe ihe niile, mana ị nwere ike nyochaa ụfọdụ akwụkwọ ndekọ aha.
Ma ugbu a ihe na-adịghị na Security Log atumatu, kama ọ bụ na Sysmon:
Mgbanwe nke oge imepụta faịlụ (NJ mmemme 2). Ụfọdụ malware nwere ike imebi ụbọchị ịmepụta faịlụ iji zoo ya na akụkọ nke faịlụ ndị emepụtara na nso nso a.
Na-ebu ndị ọkwọ ụgbọala na ọba akwụkwọ dị ike (NJ mmemme 6-7). Na-enyocha nbudata nke DLLs na ndị ọkwọ ụgbọala ngwaọrụ n'ime ebe nchekwa, na-enyocha mbinye aka dijitalụ na nkwado ya.
Mepụta eri na usoro na-agba ọsọ (NJ mmemme 8). Otu ụdị ọgụ nke dịkwa mkpa ka enyocha ya.
Ihe omume RawAccessRead (NJ mmemme 9). Arụ ọrụ na-agụ diski na-eji ".". N'ọtụtụ ọnọdụ, a ga-ewere ọrụ dị otú ahụ dị ka ihe na-adịghị mma.
Mepụta iyi faịlụ akpọrọ aha (NJ mmemme 15). A na-abanye ihe omume mgbe emepụtara iyi faịlụ akpọrọ nke na-ewepụta mmemme nwere hash nke ọdịnaya faịlụ ahụ.
Ịmepụta ọkpọkọ aha ya na njikọ (NJ omume 17-18). Na-enyocha koodu ọjọọ na-akpakọrịta na akụrụngwa ndị ọzọ site na ọkpọkọ akpọrọ.
Ọrụ WMI (ihe omume ID 19). Ndebanye aha mmemme emepụtara mgbe ị na-enweta sistemụ site na usoro WMI.
Iji chebe Sysmon n'onwe ya, ịkwesịrị iji ID 4 (Sysmon stop and start) na ID 16 (mgbanwe nhazi nke Symmon).
Ike Shell ndekọ
Shell Power bụ ngwa ọrụ siri ike maka ijikwa akụrụngwa Windows, yabụ ohere dị elu na onye mwakpo ga-ahọrọ ya. Enwere isi mmalite abụọ ị nwere ike iji nweta data mmemme Shell Power: Windows PowerShell log na Microsoft-WindowsPowerShell/Operation log.
Windows PowerShell ndekọ
Ebuola onye na-eweta data (NJ mmemme 600). Ndị na-eweta PowerShell bụ mmemme na-enye isi iyi data maka PowerShell ilele na jikwaa. Dịka ọmụmaatụ, ndị na-eweta arụnyere nwere ike ịbụ mgbanwe gburugburu Windows ma ọ bụ ndekọ sistemụ. A ga-enyocharịrị mpụta nke ndị na-ebubata ngwaahịa ọhụrụ iji chọpụta ọrụ ọjọọ n'oge. Dịka ọmụmaatụ, ọ bụrụ na ịhụ WSman ka ọ na-apụta n'etiti ndị na-eweta ya, mgbe ahụ a malitela nnọkọ PowerShell dịpụrụ adịpụ.
Ndekọ Microsoft-WindowsPowerShell / Ọrụ (ma ọ bụ MicrosoftWindows-PowerShellCore / Ọrụ na PowerShell 6)
Ndekọ modul (NJ mmemme 4103). Ihe omume na-echekwa ozi gbasara iwu egburu ọ bụla yana paramita nke ejiri kpọọ ya.
Mgbochi ndekọ ederede (NJ mmemme 4104). Mgbochi ndekọ ederede na-egosi ngọngọ koodu PowerShell ọ bụla emegburu. Ọbụlagodi onye mwakpo nwara izobe iwu a, ụdị mmemme a ga-egosi iwu PowerShell nke e gburu n'ezie. Ụdị mmemme a nwekwara ike ịbanye ụfọdụ oku API dị ala, a na-edekọkarị ihe omume ndị a dị ka Verbose, mana ọ bụrụ na ejiri iwu ma ọ bụ edemede enyo na-enyo enyo na ngọngọ koodu, a ga-abanye ya dị ka ịdọ aka ná ntị siri ike.
Biko mara na ozugbo a haziri ngwá ọrụ iji nakọta na nyochaa ihe omume ndị a, a ga-achọkwu oge nbibi iji belata ọnụ ọgụgụ nke ụgha.
Gwa anyị na nkwupụta ndị ị na-anakọta ndekọ maka nyocha nchekwa ozi yana ngwaọrụ ị na-eji maka nke a. Otu n'ime ebe anyị lekwasịrị anya bụ ihe ngwọta maka nyochaa mmemme nchekwa ozi. Iji dozie nsogbu nke ịnakọta na nyochaa ndekọ, anyị nwere ike ịtụ aro ilebakwuo anya , nke nwere ike ịpịkọta data echekwara na nha 20:1, na otu ihe atụ arụnyere ya nwere ike ịhazi ihe ruru 60000 ihe omume kwa sekọnd site na isi mmalite 10000.
isi: www.habr.com