| 剑走偏锋 | 您所在的位置:网站首页 › 剑走偏锋的出处 › 剑走偏锋 |
剑走偏锋
|
剑走偏锋-使用WMI获取远程计算机进程程序 集中查毒病毒打造内网安全环境
作者:高玉涵 时间:2019.04.18 15:45 博客:blog.csdn.net/cg_i 作者背景环境参见: 《由永恒之蓝病毒引发的运维安全思考——网络边界防御篇 》 《非常运维 一体化终端安全管理系统自动安装脚本详解》
TMOTWTDI -- Perl名言 真正见功夫的地方不在于代码本身,而在于对平台的理解和驾驭能力,可能这就是俗称的“内功”。-- 高玉涵 我希望不曾写过这个程序。--高玉涵
引言 信息安全是运维的根本,直接关系到企业的安危,稍有不慎会造成灾难性后果。比如近段时间,世界范围内爆发的“勒索病毒”事件,另外,国内知名门户网站因系统安全漏洞、病毒引发的数据外泄事件等。因此,信息安全体系建设已经被提到了前所未有的高度。如何提升企业的安全防范水准是目前普遍面临的问题。 很高兴在我写这篇文章时,公司内网环境,正全省统一部署“一体化”终端安全管理系统(简称:管理系统)。这套系统是一整套的内网安全管理解决方案,部署后将彻底解决,我一直苦恼的内网安全问题,提高内网抵御各种风险的能力,我想同样管理着上百台“裸奔”系统机器,并深受其害的同行,应该倍感鼓舞吧! 迫于硬件配置太低,我所在单位内网终端设备(硬件配置:Atom D2560 CPU2.0GHz、DDR2 2G内存、STAT2 160G硬盘、Windows XP Embedded (XPe) 32位)安装管理系统后,业务办理过程中,卡顿感明显(欣慰的是,总部已经意识到这些问题,正差手解决中),身为系统管理人员,在系统安全可控的前提下(《由永恒之蓝病毒引发的运维安全思考——网络边界防御篇 》文中简单介绍了,笔者在系统“祼奔”状态下,做的一些系统控制,防范系统安全的一些尝试,方法还是较为原始),确保各项业务正常办理是首要职责,无奈之下只好“壮士断腕”将防病毒模块卸载(防病毒模块资源占用较大、策略较为严格,会拦截业务系统调用的一些插件,导致某些业务无法理)。 显而易见“自己感冒了都会害怕,传染给电脑呢?”没有防病毒模块的保护,系统安全根本无从谈起。在等待总部给出最终解决方案之前,现有系统控制措施依然有效,安全依然可控。能否在这段过度期间,提高内网系统抵御病毒能力,做到全网范围内,某台终端设备中毒,早发现、早查杀,将风险与损失降到最低? 本文主要讲述,通过Windows管理规范(Windows Management Instrumentation,WMI)技术,实现集中式的病毒扫描机制的方法。显然,WMI是一个庞大的话题,用几本书的篇幅也讲不完,因此,我只能在本文中给出最简短的概览、设计思路、示例代码,同时与大家分享。希望,对你的工作有所帮助,起到举一反三的效果。
集中查毒设计思路图
(图 1 客户端程序与计算机的WMI服务通信) 图1一个WMI客户端程序,定期轮询内网所有计算机,获取远程计算机当前系统运行的进程信息,并将进程程序文件,上转至集中查毒服务器。服务器还提供FTP文件服务功能,用于存放待“抽检”的文件,以远程计算机IP地址命名的文件夹内,标识各自所属内网的那台计算机,一但杀毒程序发现病毒,通过文件夹名称,即可定位内网已中毒的计算机,及时了解内网健康情况,达到早发现、早查杀,将风险与损失降到最低的目的。 你可能会问的一些问题 1.SpotCheck.vbs是什么? 我称之为“抽样检查”程序。抽样检查,是从一批产品中随机抽取少量产品(样本) 进行检验,据以判断该批产品是否合格的统计方法和理论。就像我们人需要定期做体验一样,通过设置“抽检”程序定期执行,可及时了解内网健康情况,做出相对应的诊察手段。 2.为什么是进程程序文件? 远程计算机动辄数十GB至数百GB字节的数据,都传到服务器进行查毒是不现实的(也太傻了)。病毒或恶意程序,要保持传染、窃取、破坏等能力,就必须保持“活性”(驻留在系统进程中)。我们只需“抽检”这部份数据即可达到目地。
用Windows Script Host进行脚本编程
在我不长的从业生涯中,学习过数十种计算机语言,学习它们的背景都是因为系统间某些限制或更善长完成特定任务(有些纯粹是因为好奇)。这带来一个好处,让我避免了系统间的限制和兼容问题,根据要执行任务的平台,以它最自然的语言来完成任务。当然这也会带来一些困扰,如,编写代码时各种“方言”会混淆的写在一起。 显然我这个程序主要应用在Windows平台上,程序生命周期定位在“过渡”期内。所以,程序即要充分利用Windows平台提供的强大功能、编写过程也不能太复杂。 用VBScript脚本语言来完成此类任务,可以说是再合适不过了。VBScript是Microsoft自已的脚本语言很容易上手,其实编写之初,我几乎已经忘记这门语言,我从网上下了一份简明教程,通过几个小时的学习,就可以上手编写程序了。 另一方面,它直接可以同Windows对话,例如DLL对象、COM对象、Windows API类库等等,掌握后可以用它完成Windows下所有的工作,而不必通过复杂的编程环境。
Windows管理规范(WMI)
如果你有一台Windows计算机,维护可能是一项令人沮丧的、耗费时间的工作。将这放大数百倍或数千倍。想象一下公司IT经理每天所要面对的事情(我就是这个苦逼的IT经理)。仅仅是记录计算机库存就是很大的一项任务,然后,有频繁的网络设置更改、网络打印机的添加删除、更新应用程序和移动目标共享文件夹,更别提系统崩溃、硬件失效和用户导致的灾难了,将组织的计算机聚集在一起,就像是试图在水中用手握住50个乒乓球。IT工作是进入隔离病房接受一些正式药物治疗的章程票。 摆脱这种错乱的一种方法是,尽可能地避免从一台计算机走到另一台计算机去做更改。在较大的网络中需求更加迫切。WMI则可以帮助减轻维护负担。WMI提供了一种方式来深入查看Windows的内部工作,监视设置并做出修改。WMI伸手触及到Windows操作系统的每个方面,包括设备驱动、系统服务和应用程序。WMI通过网络来工作,因此,运行一个WMI监视程序(或脚本)的计算机可以进入到组织的网上的任何计算机。
别急“压轴好戏”就要上场了
我知道你们急着想看代码,前面的内容如让你感到无趣或啰嗦,先在此表示歉意。为了保证程序能够正常运行,在这之前,我们还是先看看程序运行后的样子和一些注意事项。 1.程序文件
SpotCheck.vbs主程序文件,log.txt是程序运行后生成的日志文件,内容如下面的样子: ...... GetCurrentProcess():C:\WINDOWS\System32\smss.exe,C:\WINDOWS\system32\csrss.exe,C:\WINDOWS\system32\winlogon.exe,C:\WINDOWS\system32\services.exe,C:\WINDOWS\system32\lsass.exe,C:\WINDOWS\system32\cmd.exe,C:\WINDOWS\system32\ftp.exe, 2019/4/8 15:20:22 remote_assembly_upload_file:Method returned result = 0 Id of new process is 3628 2019/4/8 15:20:23 package_team:Method returned result = 0 Id of new process is 1860 2019/4/8 15:20:23 package_team:Method returned result = 0 Id of new process is 6568 2019/4/8 15:20:24 package_team:Method returned result = 0 Id of new process is 6232 ...... 可以看出日志中记录了GetCurrentProcess()函数,获取的当前进程运行的所有程序,并给出它们的绝对路径,文件间以逗号分隔,这些就是送去“抽检”的文件。 日志文件中还有一些其它信息,它们是程序运行过程中,函数运行状态,有性趣的同学,可通过研究源来代码来了解它们。 1.远程计算机需要做的一些工作 如果远程计算机启用了防火墙,使用netsh firewall set service RemoteAdmin命令,使防火墙允许远程登录。 在工作组网络上WindowsXP系统,要禁用“简单共享”操作如下:1.单击“开始->运行”,输入“gpedit.msc”回车,打开“组策略编辑器”,计算机配置→Windows设置→安全设置→本地策略→安全选项”;2.右边双击“网络访问:本地帐户的共享和安全模式”打开其属性对话框,更改成“经典_本地用户以自己的身份验证”选项。
SpotCheck程序示例源码 '*********************************************************************************** '* '* File: SpotCheck.vbs '* Author: 高玉涵 '* Blog: blog.csdn.net/cg_i '* Created: 2019/4/6 '* Last Modified:2019/4/9 '* Version: 0.1 '* Declaration: '* 抽样检查程序,通过WMI技术获取远程计算机进程文件,传至指定集中杀毒服务器 '* 根据查杀结果了解内网计算机健康情况,做出相对应的诊察手段。 '*********************************************************************************** Option Explicit 'BUG = 1,显示错误信息; public const BUG = 1 public const output_log_file = "log.txt" public const ForReading = 1, ForWriting = 2, ForAppending = 8 public locator,svcs dim computer dim username dim password computer = "192.168.0.x" username = "你的用户名" password = "你的密码" '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2016/8/16 ' Version: 0.1 ' Name: output_log ' Declare: 写日志 ' parameter: ' strFileName 文件名 ' strMsg 信息 ' mode: ' ForReading = 1, ForWriting = 2, ForAppending = 8 '---------------------------------------------------------------------- Sub output_log(strFileName,mode,strMsg) Dim fso,file,stream Set fso = CreateObject("Scripting.FileSystemObject") Set stream = fso.OpenTextFile(strFileName,mode,True) stream.WriteLine(Now & vbTab & strMsg & vbcrlf) stream.close End Sub '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2019/4/6 ' Version: 0.1 ' Name: manage ' Declare: 管理计算机 ' parameter: ' computername 计算机名或IP ' username 用户名 ' password 密码 ' return: True,False '---------------------------------------------------------------------- function manage(computername, username, password) set locator = CreateObject("WbemScripting.SWbemLocator") on error resume next set svcs = locator.ConnectServer(computername, "root\CIMV2", username, password) if err 0 then if BUG then WScript.Echo "manage():" & Err.Description, "0x" & Hex(Err.Number) output_log output_log_file, ForAppending, "manage():" & Err.Description, "0x" & Hex(Err.Number) manage = False exit function end if manage = True end function '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2019/4/6 ' Version: 0.1 ' Name: GetCurrentProcess ' Declare: 获取当前系统进程 ' parameter: ' svcs 计算机SWbemServices对象 ' return: 成功,返回每个进程执行路径字符串,以逗号分隔。失败,为空 '---------------------------------------------------------------------- function GetCurrentProcess(svcs) Const wbemFlagReturnImmediately = &h10 Const wbemFlagForwardOnly = &h20 dim processes,process,strTmp on error resume next set processes = svcs.ExecQuery("SELECT * FROM Win32_Process", "WQL", _ wbemFlagReturnImmediately + wbemFlagForwardOnly) for each process in processes if process.ExecutablePath vbEmpty and process.ExecutablePath "" then strTmp = strTmp & process.ExecutablePath & "," next if err 0 then if BUG then WScript.Echo "GetCurrentProcess():" & Err.Description, "0x" & Hex(Err.Number) output_log output_log_file, ForAppending, "GetCurrentProcess():" & Err.Description, "0x" & Hex(Err.Number) GetCurrentProcess = Nothing exit function end if GetCurrentProcess = strTmp end function '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2019/4/7 ' Version: 0.1 ' Name: remote_assembly_upload_file ' Declare: 远程组装上转文件 ' parameter: ' svcs 计算机SWbemServices对象 ' ftp_command_template FTP命令模板 ' ftp_command_file 组装到的远程目标文件(全路径) ' return: 成功,TRUE 失败,FALSE '---------------------------------------------------------------------- function remote_assembly_upload_file(svcs,ftp_command_template,ftp_command_file) dim result,process,processid,packages,pack on error resume next set process = svcs.Get("Win32_Process") result = process.Create("cmd /c echo.>" & ftp_command_file, null, null, processid) output_log output_log_file, ForAppending, "remote_assembly_upload_file:Method returned result = " & result & " " & "Id of new process is " & processid packages = split(ftp_command_template, vbcrlf) for each pack in packages if not package_team(svcs, pack, ftp_command_file) then exit for end if next if err 0 then if BUG then WScript.Echo "remote_assembly_upload_file():" & Err.Description, "0x" & Hex(Err.Number) output_log output_log_file, ForAppending, "remote_assembly_upload_file():" & Err.Description, "0x" & Hex(Err.Number) remote_assembly_upload_file = False exit function end if remote_assembly_upload_file = True end function '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2019/4/7 ' Version: 0.1 ' Name: package_team ' Declare: 包装小队 - remote_assembly_upload_file函数的调用 ' parameter: ' svcs 计算机SWbemServices对象 ' ftp_command_file 组装到的远程目标文件(全路径) ' return: 成功,True 失败,False '---------------------------------------------------------------------- function package_team(svcs,pack,ftp_command_file) dim result,process,processid on error resume next set process = svcs.Get("Win32_Process") result = process.Create("cmd /c echo " & pack & ">>" & ftp_command_file,null,null,processid) output_log output_log_file, ForAppending, "package_team:Method returned result = " & result & " " & "Id of new process is " & processid if err 0 then if BUG then WScript.Echo "package_team():" & Err.Description, "0x" & Hex(Err.Number) output_log output_log_file, ForAppending, "package_team():" & Err.Description, "0x" & Hex(Err.Number) package_team = False exit function end if package_team = True end function '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2019/4/8 ' Version: 0.1 ' Name: ftp_upload ' Declare: FTP上转 ' parameter: ' svcs 计算机SWbemServices对象 ' ftp_command_file FTP配置文件(全路径) ' return: 成功,True 失败,False '---------------------------------------------------------------------- function ftp_upload(svcs,ftp_command_file) dim result,process,processid on error resume next set process = svcs.Get("Win32_Process") result = process.Create("cmd /c ftp -i -s:" & ftp_command_file,null,null,processid) output_log output_log_file, ForAppending, "ftp_upload:Method returned result = " & result & " " & "Id of new process is " & processid if err 0 then if BUG then WScript.Echo "ftp_upload():" & Err.Description, "0x" & Hex(Err.Number) output_log output_log_file, ForAppending, "ftp_upload():" & Err.Description, "0x" & Hex(Err.Number) ftp_upload = False exit function end if ftp_upload = True end function '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2019/4/6 ' Version: 0.1 ' Name: IPAddress ' Declare: 获取IP地址 ' parameter: ' svcs 计算机SWbemServices对象 ' ip_prefix IP前缀 ' return: 成功,返回指定前缀的IP。失败,返回NULL '---------------------------------------------------------------------- function IPAddress(svcs, ip_prefix) dim interface,inter,ip,i on error resume next set interface = svcs.InstancesOf("Win32_NetworkAdapterConfiguration") for each inter in interface if not isnull(inter.IPAddress) then for each ip in inter.IPAddress if instr(ip, ip_prefix) then IPAddress = ip exit function end if next end if next if err 0 then if BUG then WScript.Echo "IPAddress():" & Err.Description, "0x" & Hex(Err.Number) output_log output_log_file, ForAppending, "IPAddress():" & Err.Description, "0x" & Hex(Err.Number) end if IPAddress = Nothing end function '---------------------------------------------------------------------- ' Author: 高玉涵 ' Created: 2019/4/6 ' Version: 0.1 ' Name: generate_Upload_Template ' Declare: 生成FTP上转模板 ' parameter: ' LocalIPAddress 本地IP ' arrayProcess 本地进程数组 ' ftp_host FTP服务器 ' ftp_user FTP用户名 ' ftp_password FTP密码 ' return: 成功,返回组装后的模板。失败,未知 '---------------------------------------------------------------------- function generate_upload_template(LocalIPAddress,arrayProcess,ftp_host,ftp_user,ftp_password) dim template,process template = template & "open " & ftp_host & vbcrlf template = template & ftp_user & vbcrlf template = template & ftp_password & vbcrlf template = template & "mkdir " & LocalIPAddress & vbcrlf template = template & "cd " & LocalIPAddress & vbcrlf template = template & "BINARY" & vbcrlf for each process in arrayProcess if not process = " " then template = template & "put " & process & vbcrlf end if next generate_Upload_Template = template end function dim arrayProcess,LocalIPAddress,template,ftp_command_file,result ftp_command_file = "c:\\upload.txt" if manage(computer, username, password) then result = GetCurrentProcess(svcs) if not result = vbEmpty then output_log output_log_file, ForAppending, "GetCurrentProcess():" & result arrayProcess = split(result, ",") LocalIPAddress = IPAddress(svcs, "192") template = generate_Upload_Template(LocalIPAddress,arrayProcess,"192.168.0.x","ftp01","ftp01") remote_assembly_upload_file svcs,template,ftp_command_file ftp_upload svcs,ftp_command_file end if end if wscript.echo "exit"写在最后
最后,向和我一样为确保全省IT系统安全,奋斗在基层一线的全体同仁致敬! 不抱怨的世界。 只是别让时间, 消磨了我们心中的火焰......
2019/4/9
|
【本文地址】