分类 edr 中的文章

edr: dns域名采集

dns采集信息 type DnsInfo struct { //请求的域名 Qname string `json:"qname"` Cname []string `json:"cname"` Ipv4 []string `json:"ipv4"` Ipv6 []string `json:"ipv6"` Md5 string `json:"md5"` } 恶意软件一般通过使用DGA算法与C2服务器建立通信,因此, 在本地机器上采集dns请求信息可以检测是否存在恶意软件,因而 推测出主机是否已经失陷。 Tcpdump winsun@ubuntu:~$ sudo tcpdump -i ens33 -nt -s 500 port domain listening on ens33, link-type EN10MB (Ethernet), capture size 500 bytes IP 192.168.121.137.33266 > 192.168.121.2.53: 42909+ A? www.baidu.com. (31) IP 192.168.121.137.46547 > 192.168.121.2.53: 11678+ AAAA?……

阅读全文

edr: 进程信息采集

process 1 定义要采集的进程信息 //所要采集的进程信息 type Process struct { Pid int32 `json:"Pid"` Name string `json:"Name"` Cmdline string `json:"Cmdline"` Cwd string `json:"Cwd"` Exe string `json:"Exe"` ProcHash string `json:"ProcHash"` } 2 编写采集过程 import process //调用Processes方法 procs, _ := process.Processes() var procInfo []common.Process for i := 0; i <= len(procs)-1; i++ { var proc common.Process proc.Name, _ = procs[i].Name() proc.Pid = procs[i].Pid proc.Cmdline, _ = procs[i].Cmdline() proc.Cwd, _ = procs[i].Cwd() proc.Exe, _ = procs[i].Exe() procInfo = append(procInfo, proc) } 3 Processes分析 进程相关信息的包来自 github.com/shirou/gopsutil/v3 3.1 Process type Process……

阅读全文