【技术实现步骤摘要】
本申请涉及信息安全,具体地涉及一种跟踪windows任务计划程序创建进程的方法、一种电子设备以及对应的存储介质。
技术介绍
1、任务计划程序可以自动执行,所以也经常被恶意软件利用,实现其驻留、执行、提权等目标。另外,根据上面对任务计划服务的实现机制描述,单纯的从进程创建关系分析,是无法将任务计划与其操作指定的进程创建关联起来的。这个特性也能被恶意软件利用,实现防御规避动作。
2、举例如下:恶意程序a.exe,创建2个任务计划后即关闭:task-1:在系统空闲时,启动powershell.exe,在其命令行中指定一个下载脚本,从某站点下载恶意程序b.exe。task-2:在系统启动时,运行恶意程序b.exe。系统空闲时,task-1执行,任务计划服务进程启动powershell.exe进程(svchost.exe->powershell.exe),下载了b.exe。下次系统登录时,task-2执行,任务计划服务进程启动b.exe。(svchost.exe->b.exe)在上述过程中,通过文件创建和进程启动关系看(这...
【技术保护点】
1.一种跟踪Windows任务计划程序创建进程的方法,其特征在于,该方法包括:
2.根据权利要求1所述的方法,其特征在于,事件跟踪API和所述钩子函数均为多个,事件跟踪API与上下文封送模块中的钩子函数进行对应挂钩。
3.根据权利要求1所述的方法,其特征在于,所述事件跟踪API包括:
4.根据权利要求3所述的方法,其特征在于,所述事件跟踪API为NTDLL.DLL库中的与事件跟踪相关的API;
5.根据权利要求1所述的方法,其特征在于,通过所述钩子函数获取系统的统一后台进程管理器所调用的事件跟踪API中的参数信息,包括:
6.根...
【技术特征摘要】
1.一种跟踪windows任务计划程序创建进程的方法,其特征在于,该方法包括:
2.根据权利要求1所述的方法,其特征在于,事件跟踪api和所述钩子函数均为多个,事件跟踪api与上下文封送模块中的钩子函数进行对应挂钩。
3.根据权利要求1所述的方法,其特征在于,所述事件跟踪api包括:
4.根据权利要求3所述的方法,其特征在于,所述事件跟踪api为ntdll.dll库中的与事件跟踪相关的api;
5.根据权利要求1所述的方法,其特征在于,通过所述钩子函数获取系统的统一后台进程管理器所调用的事件跟踪api中的参数信息,包括:
6.根据权利要求3所述的方法,其特征在于,通过所述钩子函数获取系统的统一后台进程管理器所调用的事件跟踪api中的参数信息,基于所述参数信息构建线程的任务上下文,包括:
7.根据权利要求1所述的方法,其特征在于,基于所述参数信息构建线程的...
【专利技术属性】
技术研发人员:周国华,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。