【技术实现步骤摘要】
远程操作行为识别方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种远程操作行为识别方法、装置、电子设备及存储介质。
技术介绍
[0002]通过利用PsExec进行远程操作的行为是本领域技术人员常用的一种远程操作行为手段,PSExec是微软Sysinternals免费系统管理工具集软件之一,工具本身天生具有正常微软签名的身份,PsExec最强大的功能之一是在远程系统和远程支持工具(如IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。
[0003]在现有的远程操作行为识别检测手段中,有通过识别监控PsExec服务启动子进程程序的行为,这会导致无法正常获取到远程电脑的IP地址,除此之外,由于未创建PsExec服务项和管道名而导致远程操作行为识别检测手段会绕过此PsExec进行远程操作的行为。
[0004]因此,现有的远程操作行为识别检测手段缺陷是无法精确识别检测出基于PsExec的远程操作行为。
技术实现思路
[000...
【技术保护点】
【技术特征摘要】
1.一种远程操作行为识别方法,其特征在于,包括:在对新创建进程的监控进程中,确定PsExec所创建的目标服务进程;为所述目标服务进程中的指定函数设置钩子函数;其中,所述指定函数用于实现基于PIPE管道的通信;在所述目标服务进程的通信过程中,通过所述钩子函数获取并解析远程通信的PsExec协议数据;根据所述远程通信的PsExec协议数据的解析结果,获取远程操作行为的数据。2.根据权利要求1所述的远程操作行为识别方法,其特征在于,所述在对新创建进程的监控过程中,确定PsExec所创建的目标服务进程,包括:监控新创建的进程;判断新创建的进程的名称是否为PSEXESVC.exe,在新创建的进程的名称为PSEXESVC.exe的情况下,确定所述新创建的进程为PsExec所创建的目标服务进程;在新创建的进程的名称不是PSEXESVC.exe的情况下,检测所述新创建的进程的原始名称是否为PSEXESVC.exe,在所述新创建的进程的原始名称为PSEXESVC.exe的情况下,确定所述新创建的进程为PsExec所创建的目标服务进程。3.根据权利要求1所述的远程操作行为识别方法,其特征在于,所述为所述目标服务进程中的指定函数设置钩子函数,包括:为所述目标服务进程中的CreateNamedPipeW函数设置第一钩子函数;其中,所述第一钩子函数用于记录创建PIPE管道的名称和句柄数据;在PsExec支持交互模式的情况下,为所述目标服务进程中的ReadFile函数设置第二钩子函数;其中,所述第二钩子函数用于获取并解析远程通信的PsExec协议数据;在PsExec支持非交互模式的情况下,为所述目标服务进程中的CryptDecrypt函数设置第二钩子函数。4.根据权利要求3所述的远程操作行为识别方法,其特征在于,所述在所述目标服务进程的通信过程中,通过所述钩子函数获取并解析远程通信的PsExec协议数据,包括:在所述目标服务进程启动后,通过所述第一钩子函数记录创建PIPE管道的名称和句柄数据;根据所创建的PIPE管道的名称和句柄数据,通过所述第二钩子函数获取通过所述PIPE通道传输的远程通信的PsExec协议数据;通过所述第二钩子函数解析所述远...
【专利技术属性】
技术研发人员:林岳川,孙诚,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。