检测Windows 10上的蛮力尝试(没有事件日志)

Question

我目前正在从事一个软件项目，作为操作系统安全课程的一部分，我的项目中的一个特性是检测Windows主机上的暴力攻击。

我知道，我可以通过在Windows事件日志中检查事件ID 4625和其他事件来轻松完成这一任务，但我希望即使禁用了Windows事件日志，我的软件也能工作。

在不使用Windows事件日志的情况下，有可能做到这一点吗？也许是使用Windows的东西？

这个项目是用C#编写的，但是如果需要编写一些低级代码的话，我在C上没有问题。

Answer 1

暴力尝试通常会在“短时间”内显示出大量类似的网络流量。所以，如果你可以从你的代码监控网络，你可以看到它。

• 最简单的方法是从单个IP中检测到强暴的人:只需跟踪来自该IP的数据包会使您运行多少数据包。但是，你需要考虑Netflix或pornhub发送的流量。
• 接下来是查看给定数据包的有效负载，它在未加密的通信中工作得更好。例如，查找登录尝试。

如果暴力攻击成功了，

• 您可以获得一个进程列表，这些进程要么侦听，要么发送流量，并消除合法的进程。
• 另一件事是查看即将出站的流量，这可能表明有什么东西在与母舰交谈。比特币挖掘就是一个很好的例子。