检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质制造方法及图纸

技术编号：17994915 阅读：251 留言：0更新日期：2018-05-19 12:04

本申请涉及一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质，其中，方法包括：实时获得进程运行时加载的动态链接库中的dll文件；将dll文件与Mimikatz‑dll特征库中的dll文件一一对比，Mimikatz‑dll特征库为Mimikatz运行时加载的dll文件组成的特征库；当dll文件中包含Mimikatz‑dll特征库中的所有dll文件时，拦截dll文件对应的进程；当拦截成功时，返回实时获得运行进程时加载的动态链接库中的dll文件。

Method and device for detecting and intercepting Mimikatz, computer equipment and readable storage medium

This application involves a method, a device, a computer device, and a readable storage medium for detecting and intercepting Mimikatz, in which the method includes: getting the DLL file in the dynamic link library loaded by the process runtime in real time; comparing the DLL file to the DLL file in the Mimikatz DLL feature library, the Mimikatz DLL feature library is Mimikatz The runtime loaded DLL file is a feature library; when the DLL file contains all DLL files in the Mimikatz DLL feature library, it intercepts the DLL file's corresponding process; when the interception is successful, it returns the DLL file in the dynamic link library loaded in real time when the running process is obtained.

全部详细技术资料下载

【技术实现步骤摘要】
检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质
本申请涉及计算机
，特别是涉及一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质。
技术介绍
Mimikatz是一款由法国人编写的轻量级调试工具，具备很多的功能，比如说提升进程权限，注入进程，读取进程内存等等，较为人所知的是使用Mimikatz来获取Windows的明文密码。Mimikatz能够从Windows认证的进程中获取内存，并且获取明文密码和NTLM(NTLANManager，标准安全协议)哈希值，攻击者可以借此漫游内网。Mimikatz攻击工具不仅会造成Windows系统中密码被公开，而且，以此攻击工具为漏洞利用工具结合其他恶意软件，会对网络安全造成很大的危害。比如，以Mimikatz攻击工具为基础之一的新型勒索病毒“坏兔子”要求受害人登录某个服务网站，并支付0.5个比特币的赎金，潜在危险较高，影响较大。虽然，Mimikatz的源代码已经公开，但是，目前，没有针对Mimikatz攻击软件的快速的检测和拦截技术。
技术实现思路
基于此，有必要针对Mimikatz工具获取密...
检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质

【技术保护点】
一种检测与拦截Mimikatz的方法，其特征在于，包括下述步骤：实时获得进程运行时加载的动态链接库中的dll文件；将所述dll文件与Mimikatz‑dll特征库中的dll文件一一对比，所述Mimikatz‑dll特征库为所述Mimikatz运行时加载的dll文件组成的特征库；当所述dll文件中包含所述Mimikatz‑dll特征库中的所有dll文件时，拦截所述dll文件对应的进程；当拦截成功时，返回所述实时获得运行进程时加载的动态链接库中的dll文件的步骤。

【技术特征摘要】
1.一种检测与拦截Mimikatz的方法，其特征在于，包括下述步骤：实时获得进程运行时加载的动态链接库中的dll文件；将所述dll文件与Mimikatz-dll特征库中的dll文件一一对比，所述Mimikatz-dll特征库为所述Mimikatz运行时加载的dll文件组成的特征库；当所述dll文件中包含所述Mimikatz-dll特征库中的所有dll文件时，拦截所述dll文件对应的进程；当拦截成功时，返回所述实时获得运行进程时加载的动态链接库中的dll文件的步骤。2.根据权利要求1所述的检测与拦截Mimikatz的方法，其特征在于，还包括：当检测到的所述dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时，返回所述实时获得运行进程时加载的动态链接库中的dll文件的步骤。3.根据权利要求1所述的检测与拦截Mimikatz的方法，其特征在于，还包括：当接收到结束检测指令时，结束实时检测。4.根据权利要求1所述的检测与拦截Mimikatz的方法，其特征在于，所述Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。5.一种检测与拦截Mimikatz的装置，其特征在于，包括：检测模块，用于实时获得进程运行时加载的动态链接库中的dll文件；对比模块，用于将所述dll文件与Mimikatz-dll特征库中的dll文件...

【专利技术属性】
技术研发人员：陈志华，刘超颖，王文佳，向宇，张会杰，
申请(专利权)人：广东省信息安全测评中心，
类型：发明
国别省市：广东,44

全部详细技术资料下载我是这个专利的主人