工具介绍

Attack Monitor是一款Python应用程序，可以帮助安全研究人员增强Windows 7/2008（及所有更高版本）工作站或服务器的安全监控功能，并且能够自动对恶意软件进行动态分析。

当前模式

1、终端检测（ED）

2、恶意软件分析（须在特定虚拟机环境中执行）

支持事件

1、Windows事件日志

2、Sysmon

3、Watchdog（文件系统监控Python库）

4、TShark（仅支持恶意软件分析模式）

当前版本

Attack Monitor：v0.9.0（Alpha版本）

工具演示

支持的操作系统

1、Windows 7, 8, 10 (x86位或x64位)

2、Windows 2008, 2012, 2016 (x86位或x64位)

工具依赖组件

1、Powershell 5

2、Sysmon (通过installer.py下载、配置和安装)

3、Python 3.6 (64-bit) - 理论支持Python 3.x

4、Tshark (仅恶意软件分析)

5、各种Python3库 (requirements.txt)

6、StoneEngine 库(首次发布，高级Windows事件日志接口)

支持的系统事件

注意：其中部分事件仅支持恶意软件分析模式。

文件系统修改

允许的网络连接

PowerShell活动

进程创建

SMB活动

计划任务

本地帐号修改

驱动器加载

元磁盘访问

注册表监控

管道事件

服务监控

日志审计

WMI监控

DNS请求捕捉（通过Tshark）

工具安装-终端检测模式

首先，从本项目的GitHub库将项目源码克隆至本地：

gitclonehttps://github.com/yarox24/attack_monitor.git

切换到本地项目目录，运行下列命令：

<Download newest release> cmd.exe (Runasadmin) pip3 install -U -r requirements.txt python installer.py sysmon => Choose endpoint detection mode python installer.py psaudit python installer.py auditpol python installer.py install => Choose endpoint detection mode python installer.py exceptions [Apply section] Installation - How to enable WMI audit?

工具安装-恶意软件分析模式

cmd.exe (Run as admin) pip3install-U -r requirements.txt python installer.py sysmon =>Choosemalware analysismodepython installer.py psaudit python installer.py auditpol python installer.pyinstall=>Choosemalware analysismode[Installtshark] https://www.wireshark.org/download.html //Todefaultlocation [Applysection] Installation - Howtochoosenetworkinterfaceformalware listening? // (currentlyonlyDNS) [Applysection] Installation - HowtoenableWMIaudit? [Applysection] Installation - Howtomonitor specific directories?

如何启用WMI审计功能

compmgmt.msc Services and Applications -> WMI Control -> Properties Security -> Security -> Advanced -> Auditing -> Add Select principal: Everyone Type:AllShow advanced permissions: Selectall(Execute Methods ... Edit Security)

如何选择监听恶意软件的接口?

编辑“C:\ProgramFiles\AttackMonitor\config\attack_monitor.cfg”文件，修改文件中的“ C:\Program Files\Attack Monitor\config\attack_monitor.cfg”参数。

如何判断接口名称？

TShark使用的名称来自于控制面板\网络和Internet\网络连接，默认名为Ethernet0。

如何指定监控目录？

编辑文件“ C:\Program Files\Attack Monitor\config\monitored_directories.json”，针对恶意软件分析，我们建议研究人员监控目录“C:\”下的所有事件，并添加额外的相关目录。

工作机制

1、通过监听事件源来发送警告（Windows事件日志、Sysmon、文件系统修改和TShark）

2、根据“config\exceptions\exception.json”的配置进行警报检测，该文件中包含所有警报信息。针对终端检测，需要用户自定义要忽略的警报。针对恶意软件分析，你需要针对目标系统添加例外情况。

3、如果exception.json文件中存在警告，则返回第一步，否则进行下一步。

4、学习模式是否启用？如果启用，工具则会弹出警告询问是否需要忽略这条警报，需依据正则表达式。

5、警告用户捕捉事件，并输出结果：

系统托盘气泡提醒。

警报信息将被保存在logs.txt文件中。

项目地址

Attack Monitor：

• 上一页
• 1
• 2
• 下一页

推荐阅读

• 

  魅蓝相机没了怎么恢复
• 

  石斛的功效与禁忌 赶紧来看看吧
• 

  杨利伟飞船返回时右侧窗户出现大片裂纹，心说这回可能完蛋了
• 

  6排一排3个点怎么连接
• 

  预录取是什么意思啊
• 

  万象物语角色故事在哪 万象物语探索在哪
• 

  脸上长如何解决
• 

  伤感古风句子简短
• 

  燕麦减肥法一周14斤
• 

  小米手机怎么设置透明壁纸
• 

  四川省 别争了，丁真是青年的
• 

  芝麻酱怎么做？芝麻酱怎么调稀？
• 

  如何注销新浪微博 注销新浪微博的方法
• 

  女人结婚二十周年感言 女人结婚二十周年可以怎么发表感言
• 

  粗粮是指哪些粮食
• 

  长沙民政局周末上班吗
• 

  中年人适合使用什么样的智能手机
• 

  ?遗传性雀斑治疗方法
• 

  熘鱼丸如何做 熘鱼丸家庭做法
• 

  笔记本电脑要多久清灰一次

• 《时光音乐会》、《我们的歌3》，宝藏音综你更爱哪一款？
• 乘风破浪的姐姐|又一款对标浪姐的综艺，陈小春林志炫热狗等能否带动新综艺？
• 说唱歌手|消暑特辑！夏日热播综艺大盘点，总有一款是你的菜
• 蚌埠日报|澳卫生部长称该国一款候选新冠疫苗1期临床表现良好
• 韦小宝|《鹿鼎记》大盘点：没有一款韦小宝让所有人都满意？
• 是文先生呀|你最喜欢哪一款闺蜜装，测你们因什么而成为朋友？
• 是文先生呀|和男神逛街，你想戴哪一款围巾？测你和班草是什么关系？
• |又一款国产原研免疫药上市，肺癌免疫治疗或很快进入白菜价时代
• 汽水|记忆中的神仙汽水 看看你钟爱哪一款？
• 澎湃新闻|阿里第一款物流机器人上岗 承运浙江大学“双11”包裹