检索白名单中的可疑进程

最新推荐文章于 2024-08-08 19:30:02 发布
最新推荐文章于 2024-08-08 19:30:02 发布
阅读量626 收藏 20
点赞数 20
文章标签: windows linux microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74171975/article/details/137605580
版权

代码命令:

# -*- coding:utf-8 -*-

#!/usr/bin/python

import argparse

import subprocess

import os,sys

import re

#可疑进程判断方法

def string_in_regex_list(string,regex_list):

    for regex in regex_list:

        regex = regex.strip()

        if regex=="":

            continue

        if re.search(regex,string) is not None:

            # print("regex: %s,string:%s") % (regex,string)

            return True

    return False

#默认白名单

DEFAULT_WHITE_LIST='''

/sbin/getty -.*

dbus-daemon .*

acpid -c /etc/acpi/events -s /var/run/acpid.sockte$

atd$

cron$

/lib/systemd/systemd-udevd --daemon$

dbus-daemon --system --fork$

/usr/sbin/sshd -D$

rsyslogd$

/usr/sbin/mysqld$

/usr/sbin/apache2 -k start$

'''

COMMAND_GET_NONKERNEL ='''

sudo ps --ppid 2 -p 2 -p 1 --deselect \

-o uid,pid,rss,%cpu,command \

--sort -rss,cpu

'''

def get_nonkernel_process():

    process_list = subprocess.check_output(COMMAND_GET_NONKERNEL, shell=True)

    return process_list

def load_whitelist(fname):

    white_list=""

    if fname is None:

        print("No white list file is given. Use default value.")

        white_list = DEFAULT_WHITE_LIST

    else:

        print("load white list from %s" % (fname))

        with open(fname) as f:

            white_list=f.readlines()

    return white_list

def list_process(process_list, white_list):

    l = []

    for line in process_list.decode('utf-8').splitlines():

        line = line.strip()

        if not line:

            continue

        if not string_in_regex_list(line, white_list.splitlines()):

            l.append(re.split(r'\s+', line))

    return l

if __name__ == '__main__':

    parser = argparse.ArgumentParser()

    parser.add_argument('--whitelist_file', required=False,help="config file for whitelist", type=str)

    args = parser.parse_args()

    white_list = load_whitelist(args.whitelist_file)

    nonkernel_process_list = get_nonkernel_process()

    process_list = list_process(nonkernel_process_list, white_list)

    # Remove header

    print("Identified processes count: %d." % (len(process_list) - 1))

    for process in process_list:

        print(process)

效果图:

代码详释:

import语句:表示导入argparse(用于命令行参数解析)模块、 subprocess(用于执行系统命令)模块、os模块和sys(用于操作系统相关的任务)模块以及re(用于正则表达式匹配)模块。

string_in_regex_list函数:表示用于判断给定的字符串是否在正则表达式列表中匹配到。

DEFAULT_WHITE_LIST :表示定义了默认的白名单,其中包含了一些系统进程的模式。

COMMAND_GET_NONKERNEL :表示定义了系统命令,用于获取非内核进程的信息。

get_nonkernel_process函数:表示通过执行系统命令获取非内核进程的列表。

load_whitelist函数:表示根据提供的文件名加载白名单,如果没有提供文件,则使用默认的白名单。

list_process函数:表示对获取到的进程列表进行处理,筛选出不在白名单中的进程,并将其添加到一个新的列表中。

在__main__部分:

表示通过命令行参数解析获取白名单文件,加载白名单,获取非内核进程列表,处理进程列表并打印出不在白名单中的进程。

常见问题:

暂无。

注意事项:

暂无。

钟离亦芷
关注
  • 20
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【格式化文档】ISO27001控制措施+ISO27002实施指南 【
学习带来的愉悦具有很高的延迟,但还在承受范围内
04-06 3514
A10 密码学 A10.1 密码控制 目标:使用密码适当有效的保护信息的机密性、真实性和完整性。 序号 标识 类型 描述 10.1.1 密码使用控制政策 控制类 应该制定和实施保护密码控制策略 10.1.2 密钥管理 控制类 应制定和实施密钥的使用、保护、使用期策略并贯穿其整个生命周期 ...
python ipset管理 增删白名单的方法
12-23
为方便用ipset 来管理防火墙,写了下面Ipset类来对Ip进行管理 #!/usr/bin/env python # coding: utf-8 import MySQLdb import MySQLdb.cursors import subprocess import logging import re,os ...
无线服务器查看进程,无线服务器查看进程
weixin_39813574的博客
08-08 240
无线服务器查看进程 内容精选换一换服务器应用白名单策略后,HSS将检测该服务器进程的风险类型,包括可信、不可信和未知,帮助您有效识别服务器的风险,并对不在白名单策略进程进行告警提示或者隔离。你可以对进程告警事件进行可信、不可信和未知标记。若您判断进程为恶意程序,可以手动执行隔离查杀。程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若运行多路视频解码的APP时...
hbase为何不能向表插入数据_大数据HBase理论实操面试题
weixin_39790686的博客
11-19 436
1、HBase的特点是什么?1)大:一个表可以有数十亿行,上百万列;2)无模式:每行都有一个可排序的主键和任意多的列,列可以根据需要动态的增加,同一张表不同的行可以有截然不同的列;3)面向列:面向列(族)的存储和权限控制,列(族)独立检索;4)稀疏:空(null)列并不占用存储空间,表可以设计的非常稀疏;5)数据多版本:每个单元的数据可以有多个版本,默认情况下版本号自动分配,是单元格插入时的时...
API 网关在微服务的应用
云上笛暮
04-15 1310
目录 一、什么是 API 网关? 二、微服务架构对 API 网关的需求 三、API 网关在微服务架构的工作 四、API网关的实现——问题和解决方案 可扩展性和性能 反应式编程模型 服务调用 服务发现 处理部分故障 五、API 组合 六、服务网格(service mesh)和 API 网关 七、API 网关在安全的作用:身份和访问 消息安全 威胁防护 日志记录 白名单白名单允许的方法 输入验证 八、API 网关对微服务的好处 安全优势 监控和分析 降低...
服务器怎么查看内存的信号,查看服务器起了多少个进程
weixin_31282049的博客
08-10 286
查看服务器起了多少个进程 内容精选换一换服务器信号函数向其他服务器进程发送控制信号。只有系统管理员才能使用这些函数。pg_cancel_backend(pid int)描述:取消一个后端的当前查询。返回值类型:Boolean备注:pg_cancel_backend向由pid标识的后端进程发送一个查询取消(SIGINT)信号。一个活动的后端进程的PID可以从pg_stat_act进程监控是针对主机内...
攻防演练之-网络安全产品大巡礼一
村中少年的专栏
06-11 1349
介绍EDR,NDR,SIEM,威胁情报等甲方常见的安全产品
Linux基于eBPF的恶意利用与检测机制
美团技术团队
04-07 5707
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范?前言现状分析海外资料国内资料eBPF技术恶意利用的攻击原理Linux网络层...
系统架构设计——互联网金融系统架构设计
庄小焱
06-25 1万+
根据第三方机构预统计,自2016年-2019年,我国零售信贷规模维持20%以上的高复合增长率,2017年国零售信贷规模达到27万亿,到2019年,总规模超过37万亿。近年来互联网金融蓬勃发展,在借贷、保险、股权等领域涌现出一大批互联网与金融场景相结合的创新产品。同时作为互联网金融的子领域消费金融领域,在国家消费升级战略下,各大平台推出了如花呗、借呗,微粒贷等众多服务。互联网金融的架构有别于传统金融系统,互联网金融产品依托于互联网的众多技术特性,主要包括三大主要方面:在互联网浪潮的背景下,传统银行、金融行业
网络安全术语表(英文-缩写-文-定义)
热门推荐
ExcaliburZY的博客
03-22 1万+
不一定全,不一定正确,根据网络查询自用整理。 英文 简称 文 定义 Access Control Decision Function ADF 访问控制判决功能 Access Control Decision Information ADI 访问控制判决信息 Access Control Enforcement Function AEF 访问控制实施功能 Access Control Entries ACE 访问控制入口 Access Control Informat
2022年文数据库的检索实验报告.doc
11-04
在这篇实验报告,我们将阐述文数据库的检索方式和操作步骤。实验的目的是掌握常见文数据库的检索方式,运用理论知识结合试验分析不同数据库在信息组织、检索方式等方面的特点。 一、试验目旳掌握常见文...
ASP.Net英文复合检索文本框实现思路及代码
10-27
前段时间,写一个用户部门的管理页面,需要对后台获取的用户数据实现英汉检索功能于是就有了下文,编辑的很详细图文并茂呢?感兴趣的你可不要错过了哈,或许本文对你有所帮助呢
人工智能-项目实践-信息检索-文搭配检索系统
03-02
大规模数据:本检索系统所收录的数据为SogouT数据的一部分,具体索引的数据文件包括:Sogou_0000、Sogou_0001、Sogou_0002、Sogou_0010、Sogou_0011、Sogou_0012,共有218669988行数据(文档数),索引+数据共有...
pgrep命令 用于检索当前正在运行的进程
01-09
pgrep命令就是检索正在运行的进程,显示匹配准则是进程的PID,可跟正则表达式来匹配进程或命令行。 选择进程拥有者时,默认匹配规则是逻辑与的关系。 语法格式:pgrep [参数] [模式] 常用参数: -d 设置一个字符...
美股文本信息抽取
cts618
08-07 321
美股文本信息抽取
python
最新发布
m0_70848838的博客
08-08 380
Dict([(k0,v0),(k1,v0),(k2,v2)]) []的每个()都有2个值,⼀个是key,⼀个是value⾃动 解析为⼀个字典了。元组 (),(1,2,3,4) 创建空元组,创建有初始值的元组。字典.values() 字典的value组成的列表。
Python3的安装及基础指令
m0_74614835的博客
08-08 437
>> dic={'name': 'huajuan', 'age': '21', 'gender': ' 女' 'phone': '1888'}{'name': 'huajuan', 'age': '21', 'gender': '女', 'phone': '1888'}>>> d={'id': 1001, 'name': '花卷', 'age': 21, 'gender': '女'}>>> lista=['李四', '张三', '王五']字典的每个k-v组成元组,这些元组组成一个新的列表。
Linux学习笔记:Linux基础知识汇总(个人复习版)
欢迎相互探讨交流知识呀~
08-05 1934
使用fdisk -l查看分区挂载情况,或者查看/etc/mtab文件,然后找到最接近的挂载点信息。4、创建站点主页 【eg.在/var/www/html内新建index.html】write_enable=YES//ftp可写,即上传权限;下载权限是默认赋予的。将数据同步写入硬盘的指令,在关机之前输入,可以多输几次。使用df命令,如df -h,查看磁盘分区的挂载点。使用lsblk命令,查看系统的磁盘设备使用情况。-a:显示所有文件(包括隐藏文件),简洁版。-R:显示所有文件以及子目录下文件,简洁版。
文期刊数据库检索技巧与通用方法解析
演示文稿提到,数据库分为多个专辑和子栏目,提供了WEB、光盘、联机检索等多种服务形式,并提供了大量的全文文献记录。" 在深入探讨这些知识点之前,首先需要理解的是,文期刊全文数据库是一个庞大的信息资源库...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值