Ko te teihana mahi a te kaiwhakamahi te waahi whakaraerae o te hanganga i runga i te haumarutanga korero. Ka whiwhi pea nga kaiwhakamahi i tetahi reta ki a raatau imeera mahi mai i te puna haumaru, engari he hononga ki tetahi waahi kua pangia. Tena pea ka tango tetahi i tetahi taputapu whai hua mo te mahi mai i tetahi waahi kaore e mohiotia. Ae, he maha nga keehi ka taea e koe te kuhu i nga rauemi umanga a-roto ma nga kaiwhakamahi. Na reira, me nui ake te aro o nga teihana mahi, a, i roto i tenei tuhinga ka korero matou ki a koe kei hea me nga huihuinga hei tirotiro i nga whakaeke.
Ki te kite i te whakaekenga i te atamira moata rawa atu, e toru nga puna takahanga whaihua a WIndows: te Rangitaki Takahanga Haumarutanga, te Rangitaki Aroturuki Pūnaha, me nga Rangitaki Power Shell.
Rangitaki Takahanga Haumarutanga
Koinei te waahi rokiroki matua mo nga raupapa haumarutanga punaha. Kei roto i tenei ko nga huihuinga o te takiuru / takiputa a te kaiwhakamahi, te uru ki nga taonga, nga huringa kaupapa here, me etahi atu mahi e pa ana ki te haumarutanga. Ko te tikanga, ki te whirihorahia te kaupapa here e tika ana.
Te tatauranga o nga kaiwhakamahi me nga roopu (nga kaupapa 4798 me 4799). I te timatanga o te whakaeke, he maha nga wa e rapu ana te malware i nga kaute kaiwhakamahi a-rohe me nga roopu a-rohe i runga i te teihana mahi ki te rapu tohu mo ana mahi marumaru. Ka awhina enei huihuinga ki te kite i nga waehere kino i mua i te neke haere, a, ma te whakamahi i nga raraunga kua kohia, ka horahia ki etahi atu punaha.
Te hanga i tetahi kaute a rohe me nga huringa i roto i nga roopu o te rohe (nga kaupapa 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 me 5377). Ka taea ano e te whakaeke te timata, hei tauira, ma te taapiri i tetahi kaiwhakamahi hou ki te roopu kaiwhakahaere o te rohe.
Ngana takiuru me tetahi kaute o te rohe (takahanga 4624). Ko nga kaiwhakamahi whakaute ka uru mai me tetahi kaute rohe, me te tautuhi i te takiuru i raro i te kaute o te rohe ka taea te tiimata o te whakaeke. Kei roto hoki i te Takahanga 4624 nga whakaurunga i raro i te kaute rohe, na i te wa e tukatuka ana i nga huihuinga, me tarai e koe nga huihuinga he rereke te rohe mai i te ingoa teihana mahi.
He ngana ki te takiuru me te kaute kua tohua (takahanga 4648). Ka puta tenei i te wa e rere ana te tukanga i roto i te aratau "rere rite". Kaua tenei e puta i te wa e whakahaere ana nga punaha, no reira me whakahaere nga kaupapa penei.
Te maukati/tango i te teihana mahi (nga kaupapa 4800-4803). Kei roto i te kāwai o ngā takahanga tūpato ngā mahi i puta i runga i te teihana mahi maukati.
Nga huringa whirihoranga paahi ahi (nga kaupapa 4944-4958). Maamaa, ina whakauru ana i nga rorohiko hou, ka rereke pea nga tautuhinga whirihoranga paahi ahi, ka puta he hua teka. I te nuinga o nga wa, kaore he take ki te whakahaere i enei huringa, engari karekau he kino ki te mohio ki a raatau.
Te hono i nga taputapu Plug'n'play (takahanga 6416 me Windows 10 anake). He mea nui kia mau tonu te titiro ki tenei mena kaore nga kaiwhakamahi e hono ana i nga taputapu hou ki te teihana mahi, engari katahi ka mahi.
Kei roto i te Matapihi e 9 nga waahanga kaute me te 50 nga waahanga iti mo te whakatikatika. Ko te huinga iti o nga waahanga iti e tika ana kia whakahohea ki nga tautuhinga:
Logon / Mokoff
- Takiuru;
- Mokomutu;
- Maukati Pūkete;
- Ētahi atu Takahanga Takiuru / Takiputa.
Whakahaere Moni
- Whakahaere Pūkete Kaiwhakamahi;
- Whakahaere Rōpū Haumarutanga.
Huringa Kaupapahere
- Huringa Kaupapahere Arotake;
- Huringa Kaupapahere Motuhēhē;
- Huri Kaupapa Whakamana.
Aroturuki Pūnaha (Sysmon)
He whaipainga a Sysmon i hangaia ki roto i te Matapihi ka taea te tuhi i nga kaupapa ki te raarangi punaha. I te nuinga o te waa me whakauru motuhake koe.
Ko enei kaupapa ano, ka kitea i roto i te raarangi haumarutanga (ma te whakaahei i te kaupapa here arotake e hiahiatia ana), engari he nui ake nga korero a Sysmon. He aha nga kaupapa ka taea te tango mai i a Sysmon?
Tukatuka hanga (tuhinga ID 1). Ka taea hoki e te rangitaki takahanga haumarutanga te korero ki a koe i te wa i timata ai te *.exe me te whakaatu i tona ingoa me te ara whakarewatanga. Engari kaore i rite ki a Sysmon, kaore e taea e ia te whakaatu i te hash tono. Ka kiia pea nga rorohiko kino he notepad.exe kinokore, engari ma te hash e whakamarama.
Hononga Whatunga (Takahanga ID 3). Ma te mohio, he maha nga hononga whatunga, a kaore e taea te whai i a raatau katoa. Engari he mea nui kia whakaarohia ko Sysmon, kaore i rite ki te Rangitaki Haumarutanga, ka taea te here i te hononga whatunga ki nga mara ProcessID me ProcessGUID, me te whakaatu i te tauranga me nga wahitau IP o te puna me te waahi.
Nga huringa i te rehitatanga punaha (tuhinga ID 12-14). Ko te huarahi ngawari ki te taapiri i a koe ki te autorun ko te rehita ki te rehita. Ka taea e te Rangitaki Haumarutanga tenei, engari ka whakaatu a Sysmon na wai i whakarereke, nohea, mai i hea, te tukatuka ID me te uara matua o mua.
Waihanga kōnae (tuhinga ID 11). Ko Sysmon, kaore i rite ki te Rangitaki Haumarutanga, ka whakaatu i te waahi o te konae, engari ko tona ingoa hoki. E marama ana kaore e taea e koe te whai i nga mea katoa, engari ka taea e koe te tirotiro i etahi raarangi.
Inaianei he aha te mea kaore i roto i nga kaupapa here Rangitaki Haumarutanga, engari kei roto i a Sysmon:
Hurihia te wa hanga kōnae (Takahanga ID 2). Ka taea e etahi malware te whakapohehe i te ra hanga o te konae hei huna mai i nga purongo o nga konae i hanga tata nei.
Ka utaina nga taraiwa me nga whare pukapuka hihiri (Takahanga ID 6-7). Te aro turuki i te utaina o nga DLL me nga taraiwa taputapu ki te mahara, te tirotiro i te waitohu mamati me tona mana.
Waihangahia he miro i roto i te tukanga e rere ana (tuhinga ID 8). Ko tetahi momo whakaeke e tika ana kia aro turukihia.
Takahanga RawAccessRead (Takahanga ID 9). Ko nga mahi panui kōpae ma te whakamahi ".". I roto i te nuinga o nga keehi, me kiia he mahi rerekee.
Waihangatia he awa konae kua whakaingoatia (tuhinga ID 15). Ka takiurua he takahanga ina hangahia he awa konae ingoa ka tuku takahanga me te hash o nga ihirangi o te konae.
Te hanga i te paipa me te hononga hono (take ID 17-18). Te whai i nga waehere kino e korero ana ki etahi atu waahanga ma te paipa ingoa.
Mahi WMI (take ID 19). Te rehitatanga o nga huihuinga ka mahia ina uru ana ki te punaha ma te kawa WMI.
Hei tiaki i a Sysmon ake, me aroturuki koe i nga huihuinga me te ID 4 (Sysmon tu me te tiimata) me te ID 16 (Sysmon huringa whirihoranga).
Rangitaki Anga Mana
He taputapu kaha a Power Shell mo te whakahaere i nga hanganga Windows, no reira he nui te tupono ka kowhiria e te kaiwhaiwhai. E rua nga puna ka taea e koe te whakamahi ki te tiki raraunga takahanga Power Shell: Windows PowerShell rangitaki me Microsoft-WindowsPowerShell/Operation log.
rangitaki Windows PowerShell
Ko te kaiwhakarato raraunga kua utaina (tuhinga ID 600). Ko nga kaiwhakarato PowerShell he kaupapa e whakarato ana i te puna raraunga ma PowerShell hei tiro me te whakahaere. Hei tauira, ko nga kaiwhakarato kua whakauruhia he taurangi taiao Windows, he rehita punaha ranei. Ko te putanga o nga kaiwhakarato hou me aro turuki kia kitea nga mahi kino i te waa. Hei tauira, ki te kite koe i te WSMan e puta mai ana i waenga i nga kaiwhakarato, kua timata tetahi huihuinga PowerShell mamao.
Microsoft-WindowsPowerShell / Rangitaki Mahi (MicrosoftWindows-PowerShellCore ranei / Mahi i PowerShell 6)
Takitaki kōwae (take ID 4103). Ko nga takahanga ka rongoa i nga korero mo ia whakahau kua mahia me nga tawhā i karangahia ai.
Takitaki arai tuhinga (tuhinga ID 4104). Ko te rakaraka aukati tuhinga e whakaatu ana i nga poraka katoa o te waehere PowerShell i mahia. Ahakoa ka ngana te kaitukino ki te huna i te whakahau, ka whakaatuhia e tenei momo takahanga te whakahau PowerShell i mahia. Ka taea hoki e tenei momo takahanga te tuhi i etahi waea API taumata-iti e mahia ana, ko enei huihuinga ka tuhia hei Verbose, engari ki te whakamahia he tono whakapae, he tuhinga tuhi ranei ki roto i te poraka o te waehere, ka tuhia hei Whakatupato taumaha.
Kia mahara ka whirihorahia te taputapu ki te kohi me te tātari i enei huihuinga, ka hiahiatia he waa patuiro hei whakaiti i te maha o nga hua pai.
Korerohia mai ki a matou i roto i nga korero he aha nga raarangi ka kohia e koe mo nga arotakenga haumarutanga korero me nga taputapu e whakamahia ana e koe mo tenei. Ko tetahi o a maatau kaupapa arotahi ko nga otinga mo te arotake i nga huihuinga haumarutanga korero. Hei whakatau i te raru o te kohi me te wetewete i nga raarangi, ka taea e matou te whakaaro kia ata tirohia , ka taea te kopiri i nga raraunga rongoa me te owehenga o te 20:1, a ko tetahi tauira kua whakauruhia ka kaha ki te tukatuka ki te 60000 nga huihuinga ia hekona mai i nga puna 10000.
Source: will.com