DOUBLEPULSAR检测脚本的局限性分析哪些Windows版本无法检测【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-scriptDOUBLEPULSAR检测脚本是一款用于扫描网络中受DOUBLEPULSAR植入程序感染的Windows系统的Python工具主要通过SMB和RDP协议进行检测。然而这款工具存在一定的局限性并非所有Windows版本都能被有效检测。一、检测原理与核心文件该项目包含两个核心检测脚本和一个Snort规则文件SMB检测脚本detect_doublepulsar_smb.py通过发送特定的SMB协议数据包如协商请求、会话建立请求等来检测目标系统是否感染DOUBLEPULSAR。RDP检测脚本detect_doublepulsar_rdp.py针对RDP协议3389端口发送协商请求和客户端数据根据响应判断是否存在植入程序。Snort规则doublepulsar_snort_rules.rules提供了用于网络入侵检测系统的规则可检测与DOUBLEPULSAR相关的SMB流量特征。二、无法检测的Windows版本及原因1. 启用网络级别身份验证NLA的Windows系统在detect_doublepulsar_rdp.py的代码中当服务器要求NLA网络级别身份验证时脚本会直接返回无法检测的结果。代码如下92| elif len(negotiation_response) 19 and negotiation_response[11] \x03 and negotiation_response[15] \x05: 93| with print_lock: 94| print [-] [%s] Server requires NLA, which DOUBLEPULSAR does not support % ip受影响的Windows版本Windows Vista及以上版本默认启用NLAWindows Server 2008及以上版本原因DOUBLEPULSAR植入程序不支持NLA而现代Windows系统默认启用NLA导致脚本无法与目标系统建立有效连接进行检测。2. 64位架构系统的潜在误判风险虽然detect_doublepulsar_smb.py中包含了架构判断的代码47|def calculate_doublepulsar_arch(s): 48| if s 0xffffffff00000000 0: 49| return x86 (32-bit) 50| else: 51| return x64 (64-bit)但在实际检测中64位系统的响应可能与32位系统存在差异导致部分64位Windows版本如Windows 10 64位、Windows Server 2016等的检测准确率下降。3. 非标准端口或协议修改的系统脚本默认使用SMB445端口和RDP3389端口的标准端口进行检测。如果目标系统修改了这些服务的端口或者对协议进行了自定义修改脚本将无法检测到DOUBLEPULSAR植入程序。三、如何应对检测局限性关闭NLA进行检测对于需要检测的Windows系统可以临时关闭NLA检测完成后再重新启用。结合多种检测方法除了使用该脚本外还可以结合doublepulsar_snort_rules.rules中的Snort规则通过网络流量分析来辅助检测。手动检查可疑系统对于脚本无法检测的系统建议进行手动检查查看是否存在异常进程、文件或注册表项。四、总结DOUBLEPULSAR检测脚本是一款实用的安全工具但由于其设计基于特定的协议和系统特征在面对启用NLA的现代Windows版本、64位架构系统以及非标准配置的系统时可能无法准确检测。用户在使用时应充分了解这些局限性并结合其他安全措施以全面保障系统安全。如果需要使用该工具进行检测可以通过以下命令克隆仓库git clone https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
