EDR 通过CreateService创建服务分析——底层rpc调用系统接口操作注册表,还是要进行OS API的采集,性价比最高
EDR 通过CreateService创建服务分析——底层rpc调用系统接口操作注册表,还是要进行OS API的采集,性价比最高
先说下注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services的作用是什么?
注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 是 Windows 注册表的一个分支,它包含了有关系统服务和驱动的配置信息。
这个路径下的每个子键都代表一个服务或驱动,它们的名称通常与服务的名称一致。每个子键下面可以有一系列的值,这些值用于指定服务的启动类型、错误控制、二进制路径等一系列配置信息。
在日常使用中,你不应随意修改这个路径下的信息,因为不正确的修改可能会导致系统服务无法启动或者系统崩溃。如果需要更改服务的设置,通常推荐使用服务管理器(services.msc)或其他专用工具。
需要注意的是,尽管这个路径下的信息可以提供关于系统服务的很多信息,但并非所有服务的配置都在这里。有些服务可能有自己的配置文件或者使用其他机制来存储配置信息。
我自己创建一个测试代码,并采集一些数据:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 | 13:20:36:641, create_service_test.exe, 7228:0, 7228, EXEC_create, C:\Users\xxx\source\repos\create_service_test\Debug\create_service_test.exe, parent_pid:28164 cmdline:'C:\Users\xxx\source\repos\create_service_test\Debug\create_service_test.exe' image_base:0x0000000000840000 image_size:0x00023000 , 0x00000000 [操作成功完成。 ], 13:20:36:641, create_service_test.exe, 7228:21824, 7228, FILE_read, C:\Windows\Prefetch\CREATE_SERVICE_TEST.EXE-4892928C.pf, offset:0x00000000 datalen:0x00000FB3 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CodePage, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CodePage\ACP, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CodePage\OEMCP, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000009 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000009 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wow64\x86, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wow64\x86\, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CodePage, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CodePage\ACP, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CodePage\OEMCP, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000009 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000009 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CustomLocale, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\ExtendedLocale, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp\DLL, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\LongPathsEnabled, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, FILE_open, C:\Windows\SysWOW64\ghijt32win10.dll, access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp\RuleCount, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, EXEC_module_load, C:\Windows\SysWOW64\ghijt32win10.dll, base:0x0000000061850000 size:0x00022000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CustomLocale, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language\InstallLanguageFallback, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\Type, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\DefaultFallback, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\en-US, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\DefaultFallback, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\en-US, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\LCID, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\Type, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_USERS\S-1-5-21-147214757-305610072-1517763936-4064785, access:0x02000000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\Settings\LanguageConfiguration, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_USERS\S-1-5-21-147214757-305610072-1517763936-4064785, access:0x02000000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_USERS\S-1-5-21-147214757-305610072-1517763936-4064785, access:0x02000000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_USERS\S-1-5-21-147214757-305610072-1517763936-4064785\Control Panel\Desktop, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_USERS\S-1-5-21-147214757-305610072-1517763936-4064785, access:0x02000000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_USERS\S-1-5-21-147214757-305610072-1517763936-4064785\Control Panel\Desktop\MuiCached, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_USERS\S-1-5-21-147214757-305610072-1517763936-4064785\Control Panel\Desktop\MuiCached\MachinePreferredUILanguages, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\SideBySide, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, FILE_open, C:\Windows\SysWOW64\ghijt32win10.dll, access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:36244, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, FILE_open, C:\Windows\SysWOW64\vcruntime140d.dll, access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, FILE_open, C:\Windows\SysWOW64\ucrtbased.dll, access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, FILE_open, C:\Windows\SysWOW64\msvcp140d.dll, access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:37240, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:36244, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp\RuleCount, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:37240, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp\RuleCount, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:36244, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp\RuleCount, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, EXEC_module_load, C:\Windows\SysWOW64\vcruntime140d.dll, base:0x0000000079050000 size:0x0001B000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, EXEC_module_load, C:\Windows\SysWOW64\ucrtbased.dll, base:0x0000000079130000 size:0x00174000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, EXEC_module_load, C:\Windows\SysWOW64\msvcp140d.dll, base:0x0000000079070000 size:0x000B7000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE, access:0x02000000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore\ghdll32, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore\userdll32, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore\dependdir32, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QMGHCore\dependdll32, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, FILE_open, C:\Program Files (x86)\Qianxin\Tianqing\hookbase\x86\vcomp140.dll, access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp\RuleCount, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:0, 7228, EXEC_module_load, C:\Program Files (x86)\Qianxin\Tianqing\hookbase\x86\vcomp140.dll, base:0x0000000061820000 size:0x00022000 , 0x00000000 [操作成功完成。 ], 13:20:36:657, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, access:0x00000001 , 0x00000000 [操作成功完成。 ], 13:20:36:672, create_service_test.exe, 7228:0, 7228, FILE_open, C:\Windows\SysWOW64\kernel.appcore.dll, access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ], 13:20:36:672, create_service_test.exe, 7228:21824, 7228, REG_openkey, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp, access:0x00020019 , 0x00000000 [操作成功完成。 ], 13:20:36:672, create_service_test.exe, 7228:21824, 7228, REG_getval, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\Gp\RuleCount, type:0x00000000 datalen:0 data:, 0x00000000 [操作成功完成。 ], 13:20:36:672, create_service_test.exe, 7228:0, 7228, EXEC_destroy, C:\Users\xxx\source\repos\create_service_test\Debug\create_service_test.exe, parent_pid:28164 cmdline:'C:\Users\xxx\source\repos\create_service_test\Debug\create_service_test.exe' , 0x00000000 [操作成功完成。 ], x |
测试代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 | #include <windows.h>#include <tchar.h>#include <iostream>int main(int argc, char* argv[]) { SC_HANDLE schSCManager; SC_HANDLE schService; TCHAR szPath[100] = _T("C:\\Windows\\System32\\calc.exe"); /* if (!GetModuleFileName(NULL, szPath, MAX_PATH)) { std::cout << "Cannot install service (" << GetLastError() << ")" << std::endl; return 1; } */ // 获取服务控制管理器句柄 schSCManager = OpenSCManager( NULL, // 本地计算机 NULL, // ServicesActive 数据库 SC_MANAGER_ALL_ACCESS // 完全访问权限 ); if (NULL == schSCManager) { std::cout << "OpenSCManager failed (" << GetLastError() << ")" << std::endl; return 1; } // 创建服务 schService = CreateService( schSCManager, // SCManager 数据库 _T("MyService2"), // 服务名字 _T("My Sample Service"), // 服务显示名字 SERVICE_ALL_ACCESS, // 完全访问权限 SERVICE_WIN32_OWN_PROCESS, // 服务类型 SERVICE_DEMAND_START, // 服务启动类型 SERVICE_ERROR_NORMAL, // 错误控制类型 szPath, // 服务的二进制路径 NULL, // 没有加载的组名 NULL, // 没有标记标识符 NULL, // 没有依赖服务 NULL, // 本地系统账户 NULL // 没有密码 ); if (schService == NULL) { std::cout << "CreateService failed (" << GetLastError() << ")" << std::endl; CloseServiceHandle(schSCManager); return 1; } else { std::cout << "Service installed successfully" << std::endl; } CloseServiceHandle(schService); CloseServiceHandle(schSCManager); return 0;} |
从采集的数据看,最终create serice会通过rpc去调用系统接口注册服务,注册表里有新增key MyService2:
结论:
EDR 通过CreateService创建服务分析——底层rpc调用系统接口操作注册表,还是要进行OS API的采集,性价比最高!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2021-07-27 什么是威胁狩猎——威胁搜寻是假设对手已经在您的环境中,并且您必须在他们对您的业务造成重大损害之前主动搜寻他们。威胁搜寻是指主动测试和增强组织的防御能力。
2021-07-27 sentinel 威胁狩猎——挖掘新的异常???从下面的表格就是一些检测异常的规则,例如DNS查询过程,少见的域名等
2021-07-27 在Azure Sentinel中识别与用户和实体行为分析(UEBA)的高级威胁——看不出技术细节
2021-07-27 使用SoC-ML检测Azure Sentinel中的威胁—— 这个SOC-ML就是一些分析异常的规则啊!!!和ML有毛关系?!难道是自己内置的异常检测算法你可以调整参数上报异常事件???
2021-07-27 sentinel使用内置规则检测威胁——自定义规则是使用的KQL
2021-07-27 在Azure Sentinel中使用威胁情报——可以自己订阅,自己创建一条indicator来使用基于情报的检测
2021-07-27 在Azure Sentinel中使用带自动化规则的剧本playbook——看来调查取证和响应是分开的,调查取证使用图谱便于人工来做