最近因为跟着一个安全项目,发现其中的安全产品中的一项监控每场有趣。可以监测到系统进程的主动连接行为并获取连接的IP,并且有些IP可以反查到域名。并在近期的一项活动中根据此项日志可以分析出挖矿(连接矿池)、勒索病毒、远控(连接被控主机),当然这些都要配合着威胁情报。
然后自己也闲的无趣,苦中作乐通过python也可以实现监测进程的主动外联的情况。当然使用的是PYTHON 的 psutil。主要实现逻辑是先收获网络连接情况,然后根据发起的PID 获取进程名 某些还能够获取物理路径 。当然要实现连接的ip反查域名也可以实现,不过没有必要。现在已经可以把主动连接的信息收集上来了,如下图:
【windows监控|【闲趣】python监控主动外连的异常行为】
文章图片
从而可以再进一步分析 这就是后期可以进一步补充得了
核心代码如下:
def test():
network_connection = psutil.net_connections()# 获取网络连接情况
for i in network_connection:
temp = psutil.Process(i.pid)
try:
print("PID:", i.pid, "连接情况:", i.laddr,"进程名:",temp.name(),"物理路径:", temp.cwd())
except:
# pass
print("PID:", i.pid,"连接情况:", i.laddr,"进程名:", temp.name())推荐阅读
- 【闲趣】《转载》--监控windows主机的网卡信息
- windows监控|【闲趣】监控windows主机->进程监控->查看现有进程
- sklearn|python机器学习基础02——sklearn之KNN
- 敲代码遇到的各种bug|IndexError(too many indices for tensor of dimension 1)
- 深度学习之医学图像分割论文|[深度学习论文笔记] 3D U2-Net: A 3D Universal U-Net for Multi-Domain Medical Image Segmentation
- 用python实现盲盒抽奖功能(减库存)
- Python小知识
- Python如何入门,无偿分享学习方法,你想知道的都在这里了
- 白又白用Python制作了一个奇奇怪怪的月饼送给大家