根据计划任务程序的操作动作来检测Donot组织攻击

最新推荐文章于 2022-02-02 12:55:14 发布
最新推荐文章于 2022-02-02 12:55:14 发布
阅读量220 收藏
点赞数
分类专栏: 安全开发 文章标签: 网络 c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/118106368
版权

一些木马和病毒程序常常使用计划任务程序来进行持久化,比如印度阿三写的Donot APT就非要用rundll32来注册自己的恶意dll。一怒之下我就写了C++代码专门针对藏在任务计划程序中的无文件攻击类型进行检测。如果主机被马感染了,可以迅速警报。
在这里插入图片描述

#define _WIN32_DCOM

#include <windows.h>
#include <iostream>
#include <stdio.h>
#include <vector>
#include <comdef.h>
#include <taskschd.h>
#include <string.h>
#pragma comment(lib, "taskschd.lib")
#pragma comment(lib, "comsupp.lib")

const char* FilelessAttack[] = { "rundll32", "powershell", "regsvr32", "cmd", "Psexec", "certutil", "mshta", "wmic", "msiexec" };
bool JudgeAction(BSTR actionstr);

int EnumTask(bool check)
{
    //  ------------------------------------------------------
    //  Initialize COM.
    HRESULT hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
    if (FAILED(hr))
    {
        printf("\nCoInitializeEx failed: %x", hr);
        return 1;
    }

    //  Set general COM security levels.
    hr = CoInitializeSecurity(
        NULL,
        -1,
        NULL,
        NULL,
        RPC_C_AUTHN_LEVEL_PKT_PRIVACY,
        RPC_C_IMP_LEVEL_IMPERSONATE,
        NULL,
        0,
        NULL);

    if (FAILED(hr))
    {
        printf("\nCoInitializeSecurity failed: %x", hr);
        CoUninitialize();
        return 1;
    }

    //  ------------------------------------------------------
    //  Create an instance of the Task Service. 
    ITaskService* pService = NULL;
    hr = CoCreateInstance(CLSID_TaskScheduler,
        NULL,
        CLSCTX_INPROC_SERVER,
        IID_ITaskService,
        (void**)&pService);
    if (FAILED(hr))
    {
        printf("Failed to CoCreate an instance of the TaskService class: %x", hr);
        CoUninitialize();
        return 1;
    }

    //  Connect to the task service.
    hr = pService->Connect(_variant_t(), _variant_t(),
        _variant_t(), _variant_t());
    if (FAILED(hr))
    {
        printf("ITaskService::Connect failed: %x", hr);
        pService->Release();
        CoUninitialize();
        return 1;
    }

    //  ------------------------------------------------------
    //  Get the pointer to the root task folder.
    ITaskFolder* pRootFolder = NULL;
    hr = pService->GetFolder(_bstr_t(L"\\"), &pRootFolder);

    pService->Release();
    if (FAILED(hr))
    {
        printf("Cannot get Root Folder pointer: %x", hr);
        CoUninitialize();
        return 1;
    }

    //  -------------------------------------------------------
    //  Get the registered tasks in the folder.
    IRegisteredTaskCollection* pTaskCollection = NULL;
    hr = pRootFolder->GetTasks(NULL, &pTaskCollection);

    pRootFolder->Release();
    if (FAILED(hr))
    {
        printf("Cannot get the registered tasks.: %x", hr);
        CoUninitialize();
        return 1;
    }

    LONG numTasks = 0;
    hr = pTaskCollection->get_Count(&numTasks);

    if (numTasks == 0)
    {
        printf("\nNo Tasks are currently running");
        pTaskCollection->Release();
        CoUninitialize();
        return 1;
    }

    printf("\nNumber of Tasks : %d", numTasks);

    TASK_STATE taskState;

    for (LONG i = 0; i < numTasks; i++)
    {
        IRegisteredTask* pRegisteredTask = NULL;
        
        hr = pTaskCollection->get_Item(_variant_t(i + 1), &pRegisteredTask);

        if (SUCCEEDED(hr))
        {
            BSTR taskName = NULL;
            BSTR strname = NULL;
            ITaskDefinition* pTaskDefinition = NULL;
            IRegistrationInfo* pRegistrationInfo = NULL;
            IActionCollection* pActions = NULL;
            IAction* Actions = NULL;
  

            hr = pRegisteredTask->get_Name(&taskName);
            if (SUCCEEDED(hr))
            {
                printf("\nTask Name: %S", taskName);
               

                hr = pRegisteredTask->get_State(&taskState);
                if (SUCCEEDED(hr))
                { 
                    if(taskState == 3)
                    { 
                    printf("\n\t状态: 准备就绪");
                    }
                    else
                    printf("\n\t状态: 正在运行");
                }
                else
                    printf("\n\tCannot get the registered task state: %x", hr);

                hr = pRegisteredTask->get_Definition(&pTaskDefinition);
                if (SUCCEEDED(hr))
                {
                    hr = pTaskDefinition->get_RegistrationInfo(&pRegistrationInfo);
                    if (SUCCEEDED(hr))
                    {
                        hr = pRegistrationInfo->get_Author(&strname);
                        if (SUCCEEDED(hr))
                        {
                            printf("\n\t: 注册信息:%S", strname);
                        }

                        hr = pRegistrationInfo->get_Description(&strname);
                        if (SUCCEEDED(hr))
                        {
                            printf("\n\t: 描述信息:%S", strname);
                        }
                    }
                }

                
            }
            else
            {
                printf("\nCannot get the registered task name: %x", hr);
            }


            hr = pRegisteredTask->get_Definition(&pTaskDefinition);
            if (SUCCEEDED(hr))
            {
                hr = pTaskDefinition->get_Actions(&pActions);
                if (SUCCEEDED(hr))
                {
                    IExecAction* pExecAction = NULL;
                    long number = 0;
                    hr = pActions->get_Count(&number);
                    if (SUCCEEDED(hr))
                    {
                        printf("\n\t: 执行动作数量:%d\n", number);
                    }
                    for (int i = 0; i < number; i++)
                    {
                        hr = pActions->get_Item(i+1, &Actions);
                        if (SUCCEEDED(hr))
                        {
                            hr = Actions->QueryInterface(IID_IExecAction, (void**)&pExecAction);
                            if (SUCCEEDED(hr))
                            {
                                hr = pExecAction->get_Path(&strname);
                                if (SUCCEEDED(hr))
                                {
                                    printf("\n\t: 执行动作:%S ", strname);
                                    bool result = JudgeAction(strname);
                                    if (result)
                                    { 
                                        printf("\n\t%S supecious action!!!: %S\n", taskName,strname);
                                    }
                                }
                                hr = pExecAction->get_Arguments(&strname);
                                if (SUCCEEDED(hr) and strname != NULL)
                                {
                                    printf("%S\n", strname);
                                }
                                
                            }
                        }
                    }
                }
            }
            pRegisteredTask->Release();
            pActions->Release();
        }
        else
        {
            printf("\nCannot get the registered task item at index=%d: %x", i + 1, hr);
        }
    }

    pTaskCollection->Release();
    CoUninitialize();
   
    return 0;
}


bool JudgeAction(BSTR actionstr)
{
 
    char* action = WtoA(actionstr);
    int size = sizeof(FilelessAttack) / sizeof(FilelessAttack[0]);//sizeof其作用是返回一个对象或类型所占的内存字节数,在windows下string是28.即便字符数量超过28,sizeof(A[0])的结果还是为28
    for (int i = 0; i < size; i++)
    {
        if (strstr((const char*)action, FilelessAttack[i]) != NULL)
        {
            return true;
        }
    }
   
    return false;
}
摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
更新Windows Defender病毒定义的计划任务
11-20
适用于关闭了自动更新以后,WD的更新问题。 每隔一小时检查一次更新。 Win8下使用,在计划任务中导入即可。
[病毒木马] 利用 Windows 任务计划程序
LYSM
03-18 754
背景 Windows 内置了 任务计划程序 功能,在计算机管理中可以看到。 这个东西可以让你的程序在特定的条件下启动,很多病毒木马使用它在做自启动。 手动创建一个计划任务 参考:https://blog.csdn.net/weixin_43279032/article/details/90030747 使用 cmd 创建一个计划任务 参考:https://blog.csdn.net/weixin_30371875/article/details/97575358 ...
sc-计划任务上线木马不成功的原因(但由于任务定义中的限制之一,该任务无法运行)
weixin_42109829的博客
02-02 4477
0x01 前言 1\当我们建立完ipc连接 shell net use \\192.168.138.138\ipc$ "dc123.com" /user:administrator 2、查看连接 3、用命令copy 木马过去 shell copy C:\phpStudy\PHPTutorial\WWW\public\nw.exe \\192.168.138.138\c$ 4、用 at \192.168.138.138 16:53:11 c:\1.exe 让域控运行定时任务, 5、但等了很久,定时任
Atitit.木马病毒自动启动-------------win7计划任务的管理
weixin_30307921的博客
03-09 754
Atitit.木马病毒自动启动-------------win7计划任务的管理 1.计划任务的Windows系统中取代AT 的schtasks命令1 2.Win本身的系统计划任务列表1 2.1.计划任务列表管理gui版本%windir%\system32\taskschd.msc/s1 2.2.计划任务列表管理cli版本1 3.360的列表接口ui2 ...
WIN2008R2 任务计划已损坏或被篡改问题
百里飞猴的博客
09-09 976
一、概述 部分客户的内网环境在2017年遭受大规模“永恒之蓝”攻击,时至今日,依旧有残留存在,比较严重的是进程中有大量的powershell.exe进程,CPU经常出现100%,客户反映“卡死”现象。经过排查,windows任务计划程序已损坏,解决后发现大量的恶意脚本,具体解决方法如下。如有不足之处,欢迎网友指出。 二、问题现象 三、解决思路(建议断网后操作) 1、以管理员身份运行cmd,并输入chcp 437 2、在cmd下输入指令,将返回损坏的任务计划程序名称 在chcp 437状态下输入命令,
JAVA程序在windows计划任务里执行的问题
01-20
写了一个简单的JAVA类,定时从一个ORACLE数据库取数据放到另一个mysql数据库中,写了一个脚本如下:   set classpath=.;%classpath%;./classes12.jar;./mysql-connector-java-5.1.6-bin.jar;...
Windows中使用计划任务自动执行PHP程序实例
01-20
所谓任务计划就是由计算机自动调用用户事先设置好的应用程序,从而达到简化用户操作的目的。利用Windows 2000的任务计划程序(相当与*NIX下的cron程序,这里不再对其详述),我们可以安排任何脚本、程序或文档在最...
Windows 2008 r2任务计划程序执行批处理失败问题解决方法
01-10
Windows Server 2003下面这样执行任务计划没问题,而就Windows Server 2008 R2下面出现意外。 正常情况下我们的任务计划会有反馈数值,通过它可以判断这个任务计划上次是否运行正常(详细连接:...
任务计划 to do list app ui .sketch素材下载
04-20
【标题】"任务计划 to do list app ui .sketch素材下载"所涉及的知识点主要集中在移动应用设计领域,特别是UI(用户界面)设计。Sketch是一款非常流行且强大的矢量图形编辑工具,尤其受到UI/UX设计师的青睐。在这个...
Windows 2008任务计划执行bat脚本失败返回0x1的解决方法
01-09
在Windows Server 2008操作系统中,当尝试通过任务计划程序执行批处理脚本(.bat文件)时,有时会遇到一个常见的问题,即任务计划执行后返回的状态码为0x1,而不是预期的0x0,表示脚本执行成功。这个错误可能会导致...
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7334
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
使用计划任务和bitsadmin实现恶意代码长期控守
4ct10n
02-26 8481
使用计划任务和bitsadmin实现恶意代码长期控守第一步:文件下载由于我们想要不被计算器防火墙拦截的下载木马文件,所以考虑使用Windows自带的命令行工具。使用bitsadmin下载工具就可以做到这点。 这是写好保存的.ps1脚本# 创建一个新的Job,命名为Window Updatess bitsadmin /Create "Window Updatess"# 指定一个下载任务和下载的地址
【应急响应】Windows系统下应急响应排查方法(一)
SunnyCat
01-27 1495
windows后门排查 windows后门启动方式 1、用户启动目录 C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\用户\用户名\AppData\Roaming\Microsoft\Windows\[开始] 菜单\程序\启动 2、系统服务方式启动【修改注册表,注册成某项服务,然后启动】 1、win+R,输入services.msc,打开"服务"面板 2、在“服务”面板中查看是否有异常命名的服务项
应急响应—常见应急响应处置思路
浅浅的博客
12-03 6914
下图是常见应急响应处置思路的思维导图 下面将对 "常见应急响应处置思路" 进行详细的讲解 一、操作系统后门排查 排查目标:找出后门程序在哪里,找到后门是怎么启动的,尽可能发现后门修改了系统的那些地方。 Windows常见系统后门排查 1、工具列表 Pchunter 恶意代码检测工具 Process Explorer 恶意代码检测工具 Autorun...
实时检测攻击行为 9种IDS入侵检测系统方法
KingXai的专栏
11-25 5043
入侵检测系统,英文简写为IDS,顾名思义,它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话,那么入侵检测系统(IDS)就是可以主动寻找罪犯的巡警。 因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义,同时也是为了使IDS进一步趋向完善。 Snort是很多人都在用的一个IDS了,其实它也并不是万能的,笔者下面就来谈谈突破诸如Snort这类
异常检测之浅谈入侵检测
weixin_33754913的博客
12-26 2297
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 前言 由于业务关系,最近一段时间一直在关注入侵检测...
通过Windows计划任务实现Symantec病毒服务器自动升级病毒库
weixin_33843409的博客
06-01 355
通过Windows计划任务实现Symantec病毒服务器自动升级病毒库 · 打开“任务计划”: 在 Windows NT 4 上,双击“我的电脑”,然后双击“任务计划”。 在 Windows 2000/XP/2003上,单击“开始”>“设置”>“控制面板”>“任务计划”。 · 双击“添加任务计划”,然后单击“任务计划向导”中的“下一步”。 ·...
人脸识别、姿态识别问题处理步骤
miss libra
04-20 6598
——-本文是参考王守佳先生的博士论文《基于图像的人体监测跟踪和人脸识别的研究》而写的笔记。对于模式识别问题,首先是必须对视频图像进行预处理,滤除杂波后,开始识别的步骤。目前人脸识别中光照预处理方法常用的有直方图均衡化( Histogram Equalization,HE)、Gamma 校正。局部对比度增强算法( Local Contrast Enhancement,LCE、离散余弦变换 (Di
安装不再支持的python2.7开发环境
摔不死的笨鸟的博客
07-01 4991
这里写自定义目录标题python2.7安装pip安装Pylint python2.7安装pip Python 2.7.9 + 或 Python 3.4+ 以上版本都自带 pip 工具。 安装Pylint pylint主要用来检查代码的正确性和规范性,防止有明显的语法错误。 python.exe -m pip install -U "pylint<2.0.0" --user ...
任务计划程序执行python
最新发布
08-30
总结来说,任务计划程序可以通过使用Python的第三方库(如schedule和APScheduler)或者使用Python的内置模块(如time和threading)来执行Python脚本。具体选择哪种方式取决于你的需求和偏好。<span class="em">1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值