CN108052823A - 检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质 - Google Patents
检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN108052823A CN108052823A CN201711319675.2A CN201711319675A CN108052823A CN 108052823 A CN108052823 A CN 108052823A CN 201711319675 A CN201711319675 A CN 201711319675A CN 108052823 A CN108052823 A CN 108052823A
- Authority
- CN
- China
- Prior art keywords
- dll
- mimikatz
- files
- intercepting
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质,其中,方法包括:实时获得进程运行时加载的动态链接库中的dll文件;将dll文件与Mimikatz‑dll特征库中的dll文件一一对比,Mimikatz‑dll特征库为Mimikatz运行时加载的dll文件组成的特征库;当dll文件中包含Mimikatz‑dll特征库中的所有dll文件时,拦截dll文件对应的进程;当拦截成功时,返回实时获得运行进程时加载的动态链接库中的dll文件。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质。
背景技术
Mimikatz是一款由法国人编写的轻量级调试工具,具备很多的功能,比如说提升进程权限,注入进程,读取进程内存等等,较为人所知的是使用Mimikatz来获取Windows的明文密码。Mimikatz能够从Windows认证的进程中获取内存,并且获取明文密码和NTLM(NTLAN Manager,标准安全协议)哈希值,攻击者可以借此漫游内网。
Mimikatz攻击工具不仅会造成Windows***中密码被公开,而且,以此攻击工具为漏洞利用工具结合其他恶意软件,会对网络安全造成很大的危害。比如,以Mimikatz攻击工具为基础之一的新型勒索病毒“坏兔子”要求受害人登录某个服务网站,并支付0.5个比特币的赎金,潜在危险较高,影响较大。
虽然,Mimikatz的源代码已经公开,但是,目前,没有针对Mimikatz攻击软件的快速的检测和拦截技术。
发明内容
基于此,有必要针对Mimikatz工具获取密码的问题,提供一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质。
一种检测与拦截Mimikatz的方法,包括下述步骤:
实时获得进程运行时加载的动态链接库中的dll文件;
将dll文件与Mimikatz-dll特征库中的dll文件一一对比,Mimikatz-dll特征库为Mimikatz运行时加载的dll文件组成的特征库;
当dll文件中包含Mimikatz-dll特征库中的所有dll文件时,拦截dll文件对应的进程;
当拦截成功时,返回实时获得运行进程时加载的动态链接库中的dll文件的步骤。
在其中一个实施例中,还包括:
当检测到的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,返回实时获得运行进程时加载的动态链接库中的dll文件的步骤。
在其中一个实施例中,还包括:当接收到结束检测指令时,结束实时检测。
在其中一个实施例中,Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。
一种检测与拦截Mimikatz的装置,包括:
检测模块,用于实时获得进程运行时加载的动态链接库中的dll文件;
对比模块,用于将dll文件与Mimikatz-dll特征库中的dll文件一一对比,Mimikatz-dll特征库为Mimikatz运行时加载的dll文件组成的特征库;
拦截模块,用于当dll文件中包含Mimikatz-dll特征库中的所有dll文件时,拦截dll文件对应的进程;
循环模块,用于当拦截成功时,控制检测模块执行实时获得运行进程时加载的动态链接库中的dll文件的操作。
在其中一个实施例中,还包括:
直接循环模块,用于当检测到的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,控制检测模块执行实时获得运行进程时加载的动态链接库中的dll文件的操作。
在其中一个实施例中,还包括:结束检测模块,用于当接收到结束检测指令时,结束实时检测。
在其中一个实施例中,Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现上述任一实施例中方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例中方法的步骤。
上述检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质,通过获取***中实时运行中的进程的dll文件,将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,拦截进程,同时返回实时获得进程运行时加载的动态链接库中的dll文件的步骤,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
附图说明
图1为一个实施例中检测与拦截Mimikatz的方法的流程图;
图2为另一个实施例中检测与拦截Mimikatz的方法的流程图;
图3为一个实施例中检测与拦截Mimikatz的装置的结构示意图;
图4为另一个实施例中检测与拦截Mimikatz的装置的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体地实施例的目的,不是旨在于限制本申请。应该理解的是,本申请的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
Mimikatz作为内网渗透神器之一,是从Windows***中收集凭证数据最好的工具之一,是Benjamin Delpy(本杰明·德尔皮)在2007年使用C语言编写的一个Windows x32/x64程序。
如图1所示,在一个实施例中,提供一种检测与拦截Mimikatz的方法,包括下述步骤:
S200:实时获得进程运行时加载的动态链接库中的dll文件。
动态链接库(Dynamic Link Library或者Dynamic-link Library,缩写为dll),是微软Windows操作***中,实现共享函数库概念的一种方式。这些库函数的扩展名是.dll、.ocx。动态链接提供了一种方法,使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个dll文件中,该dll包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。dll还有助于共享数据和资源。多个应用程序可同时访问内存中单个dll副本的内容。使用动态链接库可以更为容易地将更新应用于各个模块,而不会影响该程序的其他部分。S200可以通过process explorer等检测工具来检测***中所有的进程对应的dll文件。
S400:将dll文件与Mimikatz-dll特征库中的dll文件一一对比,Mimikatz-dll特征库为Mimikatz运行时加载的dll文件组成的特征库。
Mimikatz运行时存在对应的dll文件,这些dll文件组成Mimikatz-dll特征库,将S200检测到的正在运行的进程对应加载的dll文件与Mimikatz-dll特征库中的dll文件进行一一对比,以此来判断***是否正在运行Mimikatz,即检测Mimikatz是否正在攻击***。
S600:当dll文件中包含Mimikatz-dll特征库中的所有dll文件时,拦截dll文件对应的进程。
S800:当拦截成功时,返回S200。
上述检测与拦截Mimikatz的方法,通过获取***中实时运行中的进程的dll文件,将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,拦截进程,当拦截成功时,,返回S200,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
如图2所示,在其中一个实施例中,还包括:
S900:当检测到的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,返回S200。
在获得当前进程加载的dll库,与Mimikatz-dll特征库进行一一比对之后,当前运行的进程加载的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,即当前没有Mimikatz攻击,返回实时获得运行进程时加载的动态链接库中的dll文件的步骤,继续检测是否存在Mimikatz的攻击。
在其中一个实施例中,还包括:
当接收到结束检测指令时,结束实时检测。
检测与拦截Mimikatz的方法中,当检测到有对应的Mimikatz的攻击时,对应进程被拦截,继续检测是否有Mimikatz的攻击。当接收到结束检测指令时,结束实时检测。
在其中一个实施例中,Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。
32位Mimikatz-dll特征库包括ntdll.dll、kernel32.dll、KERNELBASE.dll、ADVAPI32.dll、msvcrt.dll、sechost.dll、RPCRT4.dll、CRYPT32.dll、MSASN1.dll、cryptdll.dll、NETAPI32.dll、netutils.dll、srvcli.dll、wkscli.dll、LOGONCLI.dll、SHLWAPI.dll、GDI32.dll、USER32.dll、LPK.dll、USP10.dll、SAMLIB.dll、Secur32.dll、SSPICLI.dll、SHELL32.dll、IMM32.dll、MSCTF.dll、rsaenh.dll、ncrypt.dll、bcrypt.dll以及vaultcli.dll。
64位Mimikatz-dll特征库包括ntdll.dll、kernel32.dll、KERNELBASE.dll、ADVAPI32.dll、msvcrt.dll、sechost.dll、RPCRT4.dll、CRYPT32.dll、MSASN1.dll、NETAPI32.dll、SHLWAPI.dll、combase.dll、cryptdll.dll、bcryptPrimitives.dll、GDI32.dll、USER32.dll、SHELL32.dll、cfgmgr32.dll、SAMLIB.dll、Secur32.dll、windows.storage.dll、kernel.appcore.dll、shcore.dll、powrprof.dll、profapi.dll、SETUPAPI.dllWLDAP32.dll、HID.dll、CRYPTSP.dll、CRYPTBASE.dll、LOGONCLI.dll、NETUTILS.dll、SSPICLI.dll、IMM32.dll、rsaenh.dll、bcrypt.dll、ncrypt.dll、NTASN1.dll、vaultcli.dll、wintypes.dll、DEVOBJ.dll以及WINTRUST.dll。
在一个实施例中,在Windows32位操作***中,通过process explorer来实时检测***中正在运行的进程对应加载的dll文件,将上述dll文件与32位Mimikatz-dll特征库中的dll文件进行一一对比,当进程对应加载的dll文件中包含Mimikatz-dll特征库中的所有dll文件时,即当前进程中存在Mimikatz攻击,拦截dll文件对应的进程,并继续获得运行进程时加载的动态链接库中的dll文件;当进程对应加载的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,即当前进程中不存在Mimikatz攻击,继续获得运行进程时加载的动态链接库中dll文件;当接收到结束检测指令时,结束实时检测。
在本实施例中,检测与拦截Mimikatz的方法通过获取***中实时运行中的进程的dll文件,将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,拦截进程,同时返回实时获得进程中实时运行中的进程的dll文件的步骤,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
如图3所示,在一个实施例中,提供一种检测与拦截Mimikatz的装置,包括:
检测模块200,用于实时获得进程运行时加载的动态链接库中的dll文件。
对比模块400,用于将dll文件与Mimikatz-dll特征库中的dll文件一一对比,Mimikatz-dll特征库为Mimikatz运行时加载的dll文件组成的特征库。
拦截模块600,用于当dll文件中包含Mimikatz-dll特征库中的所有dll文件时,拦截dll文件对应的进程。
循环模块800,用于当拦截成功时,控制检测模块执行实时获得运行进程时加载的动态链接库中的dll文件的操作。
在本实施例中,检测与拦截Mimikatz的装置通过检测模块200获取***中实时运行中的进程的dll文件,通过对比模块400将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,通过拦截模块600拦截进程,同时通过循环模块800控制检测模块执行实时获得运行进程时加载的动态链接库中的dll文件的操作,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
在其中一个实施例中,还包括:
直接循环模块900,用于当检测到的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,控制检测模块执行实时获得运行进程时加载的动态链接库中的dll文件的操作。
在通过检测模块200获得当前进程加载的dll库,通过对比模块400与Mimikatz-dll特征库进行一一比对之后,通过直接循环模块900在当前运行的进程加载的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,即当前没有Mimikatz攻击,控制检测模块200执行实时获得运行进程时加载的动态链接库中的dll文件的操作,通过检测模块200继续检测是否存在Mimikatz的攻击。
在其中一个实施例中,还包括:
结束检测模块,用于当接收到结束检测指令时,结束实时检测。
当通过检测模块200检测到有对应的Mimikatz的攻击时,通过拦截模块600拦截对应进程,通过循环模块控制检测模块200执行实时获得运行进程时加载的动态链接库中的dll文件的操作。通过结束检测模块当接收到结束检测指令时,结束实时检测。
在其中一个实施例中,Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。
32位Mimikatz-dll特征库包括ntdll.dll、kernel32.dll、KERNELBASE.dll、ADVAPI32.dll、msvcrt.dll、sechost.dll、RPCRT4.dll、CRYPT32.dll、MSASN1.dll、cryptdll.dll、NETAPI32.dll、netutils.dll、srvcli.dll、wkscli.dll、LOGONCLI.dll、SHLWAPI.dll、GDI32.dll、USER32.dll、LPK.dll、USP10.dll、SAMLIB.dll、Secur32.dll、SSPICLI.dll、SHELL32.dll、IMM32.dll、MSCTF.dll、rsaenh.dll、ncrypt.dll、bcrypt.dll以及vaultcli.dll。
64位Mimikatz-dll特征库包括ntdll.dll、kernel32.dll、KERNELBASE.dll、ADVAPI32.dll、msvcrt.dll、sechost.dll、RPCRT4.dll、CRYPT32.dll、MSASN1.dll、NETAPI32.dll、SHLWAPI.dll、combase.dll、cryptdll.dll、bcryptPrimitives.dll、GDI32.dll、USER32.dll、SHELL32.dll、cfgmgr32.dll、SAMLIB.dll、Secur32.dll、windows.storage.dll、kernel.appcore.dll、shcore.dll、powrprof.dll、profapi.dll、SETUPAPI.dllWLDAP32.dll、HID.dll、CRYPTSP.dll、CRYPTBASE.dll、LOGONCLI.dll、NETUTILS.dll、SSPICLI.dll、IMM32.dll、rsaenh.dll、bcrypt.dll、ncrypt.dll、NTASN1.dll、vaultcli.dll、wintypes.dll、DEVOBJ.dll以及WINTRUST.dll。
在一个实施例中,在Windows64位操作***中,通过检测模块200来实时检测***中正在运行的进程对应加载的dll文件,通过对比模块400将加载的dll文件与64位Mimikatz-dll特征库中dll文件一一对比,当进程对应加载的dll文件中包含Mimikatz-dll特征库中的所有dll文件时,即当前进程中存在Mimikatz攻击,通过拦截模块600拦截对应的进程,并通过循环模块800控制检测模块200执行实时获得运行进程时加载的动态链接库中的dll文件的操作;当进程对应加载的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,即当前进程中不存在Mimikatz攻击,通过直接循环模块900控制检测模块200执行实时获得运行进程时加载的动态链接库中的dll文件的操作;当接收到结束检测指令时,通过结束检测模块结束实时检测。
上述检测与拦截Mimikatz的装置,通过获取***中实时运行中的进程的dll文件,将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,拦截进程,同时返回实时获得进程运行时加载的动态链接库中的dll文件的步骤,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
在一个实施例中,一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现上述任一实施例中方法的步骤。
计算机设备包括通过***总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作***,还可以存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现检测与拦截Mimikatz的方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行检测与拦截Mimikatz的方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。本领域技术人员可以理解上述结构仅仅是与本申请方案相关的部分结构,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在其中一个实施例中,本申请提供的检测与拦截Mimikatz的装置可以实现为一种计算机程序的形式,计算机程序可在计算机设备上运行。计算机设备的存储器中可存储组成该检测与拦截Mimikatz的装置的各个程序模块,比如,图3所示的检测模块200、对比模块400、拦截模块600和循环模块800。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的检测与拦截Mimikatz的方法中的步骤。
例如,计算机设备可以通过如图2所示的检测与拦截Mimikatz装置中的检测模块200执行S200、对比模块400执行S400、拦截模块600执行S600和循环模块执行S800。
上述检测与拦截Mimikatz的计算机设备,通过获取***中实时运行中的进程的dll文件,将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,拦截进程,同时返回实时获得进程运行时加载的动态链接库中的dll文件的步骤,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
在一个实施例中,一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例中方法的步骤。
本领域普通技术人员可以理解实现上述实施例检测与拦截Mimikatz的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述检测与拦截Mimikatz的方法的各个实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
上述检测与拦截Mimikatz的计算机可读存储介质,通过获取***中实时运行中的进程的dll文件,将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,拦截进程,同时返回实时获得进程运行时加载的动态链接库中的dll文件的步骤,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
上述检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质,通过获取***中实时运行中的进程的dll文件,将dll文件与Mimikatz-dll特征库中dll文件一一对比,当正在运行的进程的dll文件包括Mimikatz-dll特征库中所有dll文件时,拦截进程,同时返回实时获得进程运行时加载的动态链接库中的dll文件的步骤,可以快速的检测是否存在Mimikatz工具攻击行为,并针对此工具的攻击进行实时拦截,减少针对攻击工具的响应时间,实现对Mimikatz攻击工具的快速检测与拦截。
本领域普通技术人员可以理解实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)等非易失性存储介质,或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种检测与拦截Mimikatz的方法,其特征在于,包括下述步骤:
实时获得进程运行时加载的动态链接库中的dll文件;
将所述dll文件与Mimikatz-dll特征库中的dll文件一一对比,所述Mimikatz-dll特征库为所述Mimikatz运行时加载的dll文件组成的特征库;
当所述dll文件中包含所述Mimikatz-dll特征库中的所有dll文件时,拦截所述dll文件对应的进程;
当拦截成功时,返回所述实时获得运行进程时加载的动态链接库中的dll文件的步骤。
2.根据权利要求1所述的检测与拦截Mimikatz的方法,其特征在于,还包括:
当检测到的所述dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,返回所述实时获得运行进程时加载的动态链接库中的dll文件的步骤。
3.根据权利要求1所述的检测与拦截Mimikatz的方法,其特征在于,还包括:
当接收到结束检测指令时,结束实时检测。
4.根据权利要求1所述的检测与拦截Mimikatz的方法,其特征在于,所述Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。
5.一种检测与拦截Mimikatz的装置,其特征在于,包括:
检测模块,用于实时获得进程运行时加载的动态链接库中的dll文件;
对比模块,用于将所述dll文件与Mimikatz-dll特征库中的dll文件一一对比,所述Mimikatz-dll特征库为所述Mimikatz运行时加载的dll文件组成的特征库;
拦截模块,用于当所述dll文件中包含所述Mimikatz-dll特征库中的所有dll文件时,拦截所述dll文件对应的进程;
循环模块,用于当拦截成功时,控制所述检测模块执行所述实时获得运行进程时加载的动态链接库中的dll文件的操作。
6.根据权利要求5所述的检测与拦截Mimikatz的装置,其特征在于,还包括:
直接循环模块,用于当检测到的所述dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时,控制所述检测模块执行所述实时获得运行进程时加载的动态链接库中的dll文件的操作。
7.根据权利要求5所述的检测与拦截Mimikatz的装置,其特征在于,还包括:
结束检测模块,用于当接收到结束检测指令时,结束实时检测。
8.根据权利要求5所述的检测与拦截Mimikatz的装置,其特征在于,所述Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-4任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-4任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711319675.2A CN108052823A (zh) | 2017-12-12 | 2017-12-12 | 检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711319675.2A CN108052823A (zh) | 2017-12-12 | 2017-12-12 | 检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108052823A true CN108052823A (zh) | 2018-05-18 |
Family
ID=62124350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711319675.2A Pending CN108052823A (zh) | 2017-12-12 | 2017-12-12 | 检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108052823A (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239762A (zh) * | 2014-09-16 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种Windows***下安全登录的实现方法 |
| GB2543952A (en) * | 2016-10-07 | 2017-05-03 | F Secure Corp | Advanced local-network threat response |
-
2017
- 2017-12-12 CN CN201711319675.2A patent/CN108052823A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239762A (zh) * | 2014-09-16 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种Windows***下安全登录的实现方法 |
| GB2543952A (en) * | 2016-10-07 | 2017-05-03 | F Secure Corp | Advanced local-network threat response |
Non-Patent Citations (2)
| Title |
|---|
| JAKE LIEFER: "DETECTING IN-MEMORY MIMIKATZ", 《HTTPS://SECURITYRISKADVISORS.COM/BLOG/DETECTING-IN-MEMORY-MIMIKATZ/》 * |
| 严比卓,黄佳: "关于渗透测试密码破解的研究", 《网络安全技术与应用》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101685014B1 (ko) | 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치 | |
| EP3039608B1 (en) | Hardware and software execution profiling | |
| Kim et al. | A Brief Survey on Rootkit Techniques in Malicious Codes. | |
| EP2745229B1 (en) | System and method for indirect interface monitoring and plumb-lining | |
| Ahmadvand et al. | A taxonomy of software integrity protection techniques | |
| CN104081404A (zh) | 使用动态优化框架的应用沙盒化 | |
| US20060053492A1 (en) | Software tracking protection system | |
| US8595836B2 (en) | Functional patching/hooking detection and prevention | |
| CN109583202A (zh) | 用于检测进程的地址空间中的恶意代码的***和方法 | |
| Mishra et al. | Saffire: Context-sensitive function specialization against code reuse attacks | |
| Toffalini et al. | {ScaRR}: Scalable Runtime Remote Attestation for Complex Systems | |
| CN113779578A (zh) | 移动端应用的智能混淆方法和*** | |
| Piromsopa et al. | Survey of protections from buffer-overflow attacks | |
| US10749880B2 (en) | Cloud tenant oriented method and system for protecting privacy data | |
| US7620983B1 (en) | Behavior profiling | |
| Botacin et al. | Near-memory & in-memory detection of fileless malware | |
| Bouffard et al. | The ultimate control flow transfer in a Java based smart card | |
| Bousquet et al. | Mandatory access control for the android dalvik virtual machine | |
| CN108052823A (zh) | 检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质 | |
| CN109165509A (zh) | 软件实时可信度量的方法、设备、***及存储介质 | |
| Shukla et al. | Enhance OS security by restricting privileges of vulnerable application | |
| Kim et al. | Detection and blocking method against dll injection attack using peb-ldr of ics ews in smart iot environments | |
| Leiserson | Side channels and runtime encryption solutions with Intel SGX | |
| Bouffard et al. | Heap Hop! Heap Is Also Vulnerable | |
| Thomas et al. | Active malware countermeasure approach for mission critical systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180518 |
|
| RJ01 | Rejection of invention patent application after publication |