1.之内核中的网络流量为线索启程,猎取对应经过,运转处境,及其对应的文献路线。
2.遵循协定,猎取经过所翻开的端口,看是不是有反常端口。
3.遵循长途IP猎取对方地舆地位,是不是有境外承接。
4.遵循远端试验接入的承接音信(如:敏锐端口列表,承接频次),判定本身是不是被扫描。
//探测端口列表
port=21,23,,,,,,,,
//探测形式,0:整个都扫了才告警1:唯有扫描个中一个就告警,2:扫两个...依此类推
mode=1
//白名单
whiteList=
sameIPRemindTime=3
MaxRecord=
silence=0
5.经过模仿端口,将首包发送至蜜罐,用于诊断是不是本身正在被侵犯,经过自界说的协定建设代劳,将侵犯方数据透亮转发至蜜罐,举行下一步的追踪拿获等。6.与流量探测系统的联动,使得流量探测系统可以定位到反常流量所对应的模范,便利取证。7.与胁迫谍报联动,遵循IP,C2等。8.经过猎取关键网络封包(如:首包),并将其发送至平安大脑,用于剖析,并传回后果,决计是不是封闭反常经过。
9.一些埋没经过因网络承接做为而被探测出来的用户现实案例,截图等。10.插件系统的计算。建设文献:chinese.txtdll=logRecord.dllauthor=Simpowerdescription=日记纪录插件,同时供应终日记查问图形界面weight=权重越大优先级越高gui=logmgr.exe怒放三个接口
#defineDLL_EXPORT__declspec(dllexport)
voidDLL_EXPORT__stdcallinit(inttid);//初始化,起用插件时移用,干线程履行
voidDLL_EXPORT__stdcalluninit(inttid);//反初始化,拆除插件时移用,干线程履行
voidDLL_EXPORT__stdcallrecvLog(inttid,constLPCSTRlog);//接管网络日记,自力线程
11.瞻望及沙丁鱼系列用具
安世盾防火墙(PersonalFireWall)
ActionScope(猎取可履行文献的做为)
certiScope(讨取可履行文献中的资本文凭等)
VirtualMatrix(一系列虚构化用具集)
FileRescuer(复原误省略的文献和目录等)
MMWarpIn(直接读写物理内存,从内核投放代码到经过等)
往期回忆预览时标签不成点收录于合集#个