你知道，我是怎樣監(jiān)控你所有打開(kāi)EXE的嗎

點(diǎn)擊上方藍(lán)字關(guān)注公眾號(hào)

A

技術(shù)應(yīng)用背景：

目前已知在殺毒廠商以及游戲廠商的安全對(duì)抗過(guò)程中，常常需要準(zhǔn)確的監(jiān)控收集并進(jìn)行檢測(cè)用戶創(chuàng)建打開(kāi)的EXE應(yīng)用程序是否是安全的。同時(shí)也可以將此技術(shù)應(yīng)用于其他應(yīng)用的安全對(duì)抗方案中。那么如何去準(zhǔn)確的監(jiān)控和收集用戶每次點(diǎn)擊打開(kāi)的EXE應(yīng)用程序信息呢？接下來(lái)我就進(jìn)行還原實(shí)現(xiàn)下如何準(zhǔn)確的監(jiān)控并收集用戶每次點(diǎn)擊打開(kāi)EXE應(yīng)用程序技術(shù)。

A

效果展示：

下圖展示的是開(kāi)啟監(jiān)控程序，這是進(jìn)行監(jiān)控電腦上包括系統(tǒng)自啟動(dòng)EXE程序以及用戶主動(dòng)點(diǎn)擊啟動(dòng)應(yīng)用程序的信息。

A

功能代碼實(shí)現(xiàn)：

實(shí)現(xiàn)監(jiān)控用戶所有創(chuàng)建打開(kāi)EXE程序的數(shù)據(jù)需要以下幾個(gè)步驟：

1.通過(guò)調(diào)用CoInitializeEx函數(shù)，進(jìn)行對(duì)COM初始化。

2.通過(guò)調(diào)用 CoCreateInstance函數(shù)， 獲得WMI的定位器。

3.通過(guò)調(diào)用IWbemLocator::ConnectServer函數(shù)，并指定函數(shù)的參數(shù) strNetworkResource 的值為 "root\cimv2", 從而實(shí)現(xiàn)連接到 "IWbemServices"服務(wù)器。

4. 通過(guò)調(diào)用CoSetProxyBlanket函數(shù)，進(jìn)行設(shè)置 IWbemServices的代理，目的是為了WMI 服務(wù)能夠模擬客戶端角色。

5.通過(guò)調(diào)用 ExecNotificationQuery函數(shù)， 來(lái)進(jìn)行查詢接收事件。

下圖這部分代碼主要的目的是為了初始化COM和WMI的設(shè)置。

下面代碼主要實(shí)現(xiàn)查詢接收事件，也就是通過(guò)ExecNotificationQuery查詢來(lái)循環(huán)獲取用戶所創(chuàng)建打開(kāi)的所有EXE的數(shù)據(jù)。

A

知識(shí)背景清單：

概述：WMI技術(shù)算得上是一個(gè)很古老的技術(shù)，它是由微軟提供的，同時(shí)也是一種非常可靠的解決方案。WMI它還有一個(gè)非常大的優(yōu)勢(shì)，可以進(jìn)行訪問(wèn)遠(yuǎn)程電腦。它是Windows操作系統(tǒng)中管理數(shù)據(jù)和操作的基礎(chǔ)模塊，它提供了一個(gè)通過(guò)操作系統(tǒng)、網(wǎng)絡(luò)和企業(yè)環(huán)境去管理本地或遠(yuǎn)程計(jì)算機(jī)的統(tǒng)一接口集。

WMI技術(shù)可以應(yīng)用于：

1. 查詢獲取正在運(yùn)行進(jìn)程信息；

2. 查詢獲取正在運(yùn)行線程信息；

3. 查詢獲取桌面信息；

4. 查詢獲取環(huán)境變量信息；

5. 查詢獲取驅(qū)動(dòng)信息；

6. 查詢獲取文件夾信息；

7. 查詢獲取系統(tǒng)信息和系統(tǒng)服務(wù)；

8. 查詢獲取硬件信息；

9. 查詢獲取磁盤相關(guān)信息。

   ---

WMI相關(guān)概念

1.WBEM它的全稱:Web Based Enterprise Management(基于web的企業(yè)管理),它是一種行業(yè)規(guī)范，建立在企業(yè)網(wǎng)絡(luò)中訪問(wèn)和共享管理信息的標(biāo)準(zhǔn)。

2.WMI它的全稱:Windows Management Instrumentation(Windows管理工具),它是WBEM的Windows實(shí)現(xiàn)，也就是它要遵守WBEM規(guī)則。通過(guò)WMI，我們可以獲取關(guān)于硬件和軟件的相關(guān)數(shù)據(jù)，也可以提供關(guān)于硬件或軟件服務(wù)的數(shù)據(jù)給WMI。

3.COM 它的全稱：Component Object Model(組件對(duì)象模型)，它是由微軟推出的一套接口規(guī)范，通過(guò)設(shè)定不同組件之間需要遵守的標(biāo)準(zhǔn)與協(xié)議，主要用來(lái)跨語(yǔ)言、跨進(jìn)程之間的模塊通信。

WMI相關(guān)函數(shù)

1.CoInitializeEx函數(shù)詳解

2. CoCreateInstance函數(shù)詳解

3. ConnectServer函數(shù)詳解

4. CoSetProxyBlanket函數(shù)詳解

5.ExecNotificationQuery函數(shù)詳解

WMI架構(gòu)解析

下圖的WMI架構(gòu)圖來(lái)源于MSDN，我們可以從架構(gòu)圖中很清晰的看到WMI主要分為3的層結(jié)構(gòu)。

1.WMI providersand Managed object(WMI提供者和管理對(duì)象)

WMI提供者是一個(gè)監(jiān)控一個(gè)或者多個(gè)的托管對(duì)象的COM接口。

托管對(duì)象是指邏輯或者物理組件，例如硬盤驅(qū)動(dòng)器、網(wǎng)絡(luò)適配器、數(shù)據(jù)庫(kù)系統(tǒng)、操作系統(tǒng)、進(jìn)程或者服務(wù)。

WMI提供者通過(guò)托管對(duì)象提供的數(shù)據(jù)向WMI服務(wù)提供數(shù)據(jù)，同時(shí)將WMI服務(wù)的請(qǐng)求傳遞給托管對(duì)象。

WMI提供者是由實(shí)現(xiàn)邏輯的DLL和承載著描述數(shù)據(jù)和操作的類的托管對(duì)象格式MOF(Managed Object Format)文件組成。其中這個(gè)兩個(gè)文件都保存在\Windows\System32\wbem目錄下。

2.WMI Infrastructure(WMI基礎(chǔ)結(jié)構(gòu))

WMI的基礎(chǔ)結(jié)構(gòu)是Windows系統(tǒng)的系統(tǒng)組件。它主要包含兩個(gè)模塊：包含WMI Core(WMI核心)的WMI Service(WMI服務(wù))和WMI Repository(WMI存儲(chǔ)庫(kù))。

  WMI存儲(chǔ)庫(kù)是通過(guò)WMI Namespace(WMI命名空間)組織起來(lái)的。在系統(tǒng)啟動(dòng)時(shí)，WMI服務(wù)會(huì)創(chuàng)建例如root\cimv2、root\default、root\subscription等等命名空間。

WMI服務(wù)扮演著WMi提供者、管理應(yīng)用和WMI存儲(chǔ)庫(kù)之間的協(xié)調(diào)者角色。一般來(lái)說(shuō)，它是通過(guò)一個(gè)共享的服務(wù)進(jìn)程svchost來(lái)實(shí)施工作的。當(dāng)?shù)谝粋€(gè)管理應(yīng)用向WMI命名空間發(fā)起連接時(shí)，WMI服務(wù)將會(huì)啟動(dòng)。當(dāng)管理應(yīng)用不再調(diào)用WMI時(shí)，WMI服務(wù)將會(huì)關(guān)閉或者進(jìn)入低內(nèi)存狀態(tài)。

3.WMI Consumers(WMI使用者)

 它位于WMI構(gòu)架的最頂層，它是WMI技術(shù)使用的載體。對(duì)于使用C++代碼實(shí)現(xiàn)我們就可以直接通過(guò)COM技術(shù)直接與下層進(jìn)行通信。對(duì)于.net平臺(tái)語(yǔ)言，則要使用System.Management域相關(guān)功能與下層進(jìn)行通信。WMI的使用者，可以進(jìn)行查詢、枚舉數(shù)據(jù)，也可以運(yùn)行Provider的方法，還可以向WMI訂閱消息。其中這些數(shù)據(jù)操作都是要有相應(yīng)的Provider來(lái)提供。

END

掃碼二維碼

獲取更多精彩