Wireshark流量分析之添加计划任务行为检测

网安引领时代，弥天点亮未来    0x00故事是这样的1.添加任务计划命令其实有两个:①.at命令是Windows自带的用于创建计划任务的命令，但是at命令只在2003及以下的版本使用。②.schtasks命令(在2008及以后的系统中已经将at命令废弃，改用schtasks命令代替了at命令)。2.下面是自己之前本地搭建环境抓取的数据包,其中包含了at命令和schtasks命令产生的流量。3.其中at命令的特征还是比较明显的①.执行命令at \\XXXXXXX 16:40:00 cmd.exe /c "命令 > c:\result.txt"②.先通过SMB建立IPC链接。③.创建一个请求文件,调用一个RPC绑定。④.然后发送一个JobAdd请求到at服务。4.ATSVC的UUID:1ff70682-0a51-30e8-076d-740be8cee98b5.JobAdd请求特征还是比较明显的,这个属于强特征。6.所以排查at命令的思路就是筛选出来所有的JobAdd请求,条件是:atsvc.opnum==0,这个时候只要排查Command里面的数据就行了。7.第二个 ………………………………