columbo——EDR上进程注入可以使用,依赖Volatility3 内存提取,无文件攻击典型场景
2022/6/24 5:21:07
本文主要是介绍columbo——EDR上进程注入可以使用,依赖Volatility3 内存提取,无文件攻击典型场景,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
EDR上进程注入可以使用。Volatility3 内存提取。--无文件攻击典型场景
项目地址:https://github.com/visma-prodsec/columbo
哥伦布和机器学习
Columbo 使用数据预处理来组织数据和机器学习模型以识别可疑行为。它的输出要么是 1(可疑)要么是 0(真实)——以一种建议的形式,纯粹是为了帮助数字取证审查员做出决策。我们用不同的例子训练模型以最大限度地提高准确性,并使用不同的方法来最大限度地减少误报。但是,仍然会出现误报(错误检测),因此我们致力于定期更新模型。
自动或手动内存图像分析
手动内存图像分析
内存取证。在该选项中,Columbo 采用内存映像的路径,并生成以下选项供用户选择。
- 内存信息: Volatility 3 用于提取有关图像的信息。
- Processes Scan: Volatility 3用于提取进程、dll和处理每个进程的信息。然后,Columbo 使用分组和集群机制将每个进程根据它们的母进程进行分组。此选项稍后由异常检测选项下的过程可追溯性使用。
- 进程树: Volatility 3 用于提取进程的进程树。
- 异常检测和过程可追溯性: Volatility 3 用于提取异常检测过程的列表。但是,Columbo 提供了一个名为 Process Traceability 的选项,用于分别检查每个流程并共同生成以下信息。
- 可执行文件和相关命令的路径。
- 使用机器学习模型来确定已识别过程的合法性。
- 将每个进程一直追溯到其根进程(完整路径)及其执行日期和时间。
- 确定该进程是否负责执行其他进程,即它是否将成为新进程的母进程。
- 它提取、处理和 dll 的每个进程的信息,并将其余信息呈现给它们。
自动内存图像分析
以上所有,但以自动化方式。
这篇关于columbo——EDR上进程注入可以使用,依赖Volatility3 内存提取,无文件攻击典型场景的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23增量更新怎么做?-icode9专业技术文章分享
- 2024-11-23压缩包加密方案有哪些?-icode9专业技术文章分享
- 2024-11-23用shell怎么写一个开机时自动同步远程仓库的代码?-icode9专业技术文章分享
- 2024-11-23webman可以同步自己的仓库吗?-icode9专业技术文章分享
- 2024-11-23在 Webman 中怎么判断是否有某命令进程正在运行?-icode9专业技术文章分享
- 2024-11-23如何重置new Swiper?-icode9专业技术文章分享
- 2024-11-23oss直传有什么好处?-icode9专业技术文章分享
- 2024-11-23如何将oss直传封装成一个组件在其他页面调用时都可以使用?-icode9专业技术文章分享
- 2024-11-23怎么使用laravel 11在代码里获取路由列表?-icode9专业技术文章分享
- 2024-11-22怎么实现ansible playbook 备份代码中命名包含时间戳功能?-icode9专业技术文章分享