/ proc каталог для windows

Question

Я и мои друзья работаем над крупным проектом HIDS (система обнаружения вторжений на основе хоста). Я думаю, что знаю источники информации, которые мне нужны для анализа, но я не знаю, как их получить. Это системные журналы, использование памяти, списки процессов, состояние демона, состояние службы, модули ядра и так далее. Я думаю, что могу получить системные журналы, но другие я не знаю как. Я знаю, что в Linux есть каталог / proc, но что мне делать для Windows? Спасибо .. и я отчаянно нуждаюсь в том, чтобы начать мой проект

Answer 1

Как правило, в Windows нет ни одного места для поиска.Вы можете использовать Cygwin, чтобы найти некоторую информацию.

• Системные журналы в формате XML в Event Viewer.См. eventquery.vbs и eventtriggers.exe , которые могут помочь.
• netstat найдет любую информацию о сети

Ваша лучшая ставканаиболее полным источником являются запросы инструментария управления Windows (WMI), которые используют язык, похожий на SQL, позволяют запрашивать все виды системной информации.Статья Википедии содержит множество ссылок на ресурсы.

Answer 2

Я не уверен в python, но есть функции Windows API для получения всей этой информации. Для использования памяти вы можете использовать счетчики производительности . Список процессов доступен через функцию EnumProcesses . Статус демона и статус сервиса вроде означает одно и то же в Windows и доступен из сервисных функций .