powershell - Cryptolocker 蜜 jar FileSystemWatcher-6ren

powershell - Cryptolocker 蜜 jar FileSystemWatcher

转载作者：行者123 更新时间：2023-12-02 23:45:22

27

4

我是脚本新手，所以请多多包涵。我正在尝试创建一个脚本来监视添加到服务器上所有文件共享的诱饵文件。当脚本看到文件被修改时，它将阻止对进行修改的用户的访问并发送电子邮件。除了 FileSystemWatcher 之外，该脚本似乎工作正常。它只会监控最后一个共享。我看过一个similar post在这里，但对答案感到困惑。有人可以帮我完成为每个诱饵文件创建 FileSystemWatcher 的任务吗？我还想了解如何以其他方式改进脚本。非常感谢您的帮助。

$to = "joe@blow.com"
$File = "test.txt" 
$FilePath = "C:\temp"
$md5 = new-object -TypeName System.Security.Cryptography.MD5CryptoServiceProvider

## SEND MAIL FUNCTION
function sendMail($s, $to) {
    $smtpServer = "mail.nowhere.com"
    $smtpFrom = "alert@nowhere.com"
    $smtpTo = $to

    $messageSubject = $s[0]
    $message = New-Object System.Net.Mail.MailMessage $smtpfrom, $smtpto
    $message.Subject = $messageSubject
    $message.IsBodyHTML = $false
    $message.Body = $s[1]

    $smtp = New-Object Net.Mail.SmtpClient($smtpServer)
    $smtp.Send($message)
}

## Get a list of shares and Perform tasks on each location.
$cryptopaths = Get-WmiObject -Class win32_share -filter "Type=0 AND name like '%[^$]'" | ForEach ($_.Path) {
    $cryptopath = $_.Path

    ## Copy the bait file to the share location
    Copy $FilePath\$File $cryptopath\$File -Force

    ##Get files hash
    Try {
        $Origin = [System.BitConverter]::ToString($md5.ComputeHash([System.IO.File]::ReadAllBytes("$FilePath\$File")))
        $Copy = [System.BitConverter]::ToString($md5.ComputeHash([System.IO.File]::ReadAllBytes("$CryptoPath\$File")))

    }
     ##Error on reading hash
        Catch {
            echo "error reading $CryptoPath\$File" 
        }

    ## If files don't match, then Send messaged and quit
    if (Compare-Object $Origin $Copy){
        ## files don't match
        $subject = "Error logged on $CryptoPath\$File by $env:username on $env:computername"
        $body = "The original file does not match the witness file.  Aborting monitor script."
        $email =@($subject,$body)
        sendMail -s $email -to "ben22@nowhere.com"
        Exit
        }




    ## CREATE WATCHER ON DIRECTORY
    $watcher = New-Object System.IO.FileSystemWatcher
    $watcher.Path = $CryptoPath
    $watcher.Filter = $File
    $watcher.IncludeSubdirectories = $false
    $watcher.EnableRaisingEvents = $false
    $watcher.NotifyFilter = [System.IO.NotifyFilters]::LastWrite -bor [System.IO.NotifyFilters]::FileName
}


## Execute Watcher
while($TRUE){
    $result = $watcher.WaitForChanged([System.IO.WatcherChangeTypes]::Changed `
        -bor [System.IO.WatcherChangeTypes]::Renamed `
        -bor [System.IO.WatcherChangeTypes]::Deleted `
        -bor [System.IO.WatcherChangeTypes]::Created, 1000);
    if ($result.TimedOut){
        continue;
    }

    if ($result.Name -eq $File) {
        ### Make sure the files do not match
        try {
            $FileCheck = [System.BitConverter]::ToString($md5.ComputeHash([System.IO.File]::ReadAllBytes("$CryptoPath\$File")))
            if (Compare-Object $Origin $FileCheck){
                ## files don't match
                $body = "Witness file $FilePath\$File on $env:computername has been modified."
                }
        }
        catch {
            ## file deleted
            $body = "Witness file $FilePath\$File on $env:computername has been deleted"
            }
        finally {
            ## Deny owner of changed file access to shares and disconnect their open sessions. Send email alert
            Get-Acl "$CryptoPath\$File" | foreach ($_.Owner) {
            Get-SmbShare | Block-SmbShareAccess –AccountName $_.Owner
            Close-SmbSession –ClientUserName $_.Owner
            }
            $subject = "EMERGENCY ON FILE SERVER -- $FilePath\$File by $env:username on $env:computername"
            $email =@($subject,$body)
            sendMail -s $email -to "ben22@nowhere.com"
            sendMail -s $email -to "5555555555@txt.bell.ca"
            Exit

        }

    }

}

最佳答案

问题是你创建了 FileSystemWatcher循环中的实例( ForEach ($_.Path) {} )，但您将它们分配给相同的变量 $watcher ，每次都覆盖之前的引用。一旦在循环之外，您将使用 $watcher变量，它引用最后一个 FileSystemWatcher您创建的实例，这就是为什么您只收到最后一个文件的通知。

为了让它工作，你应该使用一个允许存储多个引用的类型——也就是一个数组。例子:

$watchers = @();
...
$watcher = New-Object System.IO.FileSystemWatcher;
...
$watchers += $watcher;

另外，我建议使用基于事件处理程序/回调/委托(delegate)的方法，而不是使用 WaitForChanged() 等待更改。，因为等待多个文件系统观察者需要并行解决方案(嗯，理想情况下)。使用 Register-ObjectEvent注册一个事件处理程序并特别查看此示例: http://gallery.technet.microsoft.com/scriptcenter/Powershell-FileSystemWatche-dfd7084b .

PowerShellPack 还有一个 Start-FileSystemWatcher cmdlet 很好地包装了这一切，但我不确定 PowerShellPack 的一般状态。不过，它应该是 Windows 7/8 Resource Kit 的一部分。

关于powershell - Cryptolocker 蜜 jar FileSystemWatcher，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/24794117/

27

4

0

文章推荐： javascript - 用颜色填充随机大小的矩形时如何制作边框？

文章推荐： javascript - 如何在 Blogger 中添加 JavaScript？

powershell - 实现 PowerShell PSProvider *in* PowerShell
我正在寻找实现 PowerShell 提供程序在电源外壳。我一直在想，如果我只是定义类型，然后将它们导入我的 session (导入模块)，我应该能够让它们可用。例如，这个不工作但它沿着我想
powershell - Powershell:与x86 powershell/ise一起运行的脚本
我创建的脚本使用了组件，这些组件仅在32位版本的Powershell中可用。默认情况下，Windows使用Powershell x64执行脚本，这会导致一些错误。是一种在脚本开头设置值以强制Win
powershell - 如何检测 Powershell 中的 Powershell 嵌套？
是否可以从 Powershell 中检测它是否是嵌套 shell？如果我打开 Powershell 或 cmd.exe 窗口，然后输入 powershell 在那里，是否有一个神奇的 $host.s
powershell - 如何为同一台机器自动化 PowerShell 或 PowerShell Core
随着 PowerShell Core 的发布，应用程序在使用托管自动化库 (system.management.automation) 时如何选择调用哪个版本的 Powershell(Powershe
powershell - 如何在企业中使用 PowerShell 和 PowerShell 模块
最近，我加入了我企业的 Windows 团队，凭借我的开发人员背景(一般是 Java、.NET 和 Web)，我很快就对 PowerShell 产生了兴趣。我可以看到它比普通的旧批处理文件、VB 更有
powershell - 如何在另一个 powershell 脚本中包含另一个 powershell 脚本文件？
假设我有一个 powershell 脚本，它在我当前路径的相对路径中包含一个 Powershell 哈希。让我们称之为“name.ps1”，它包含: $names = @{ "bob" = "b
powershell - 为 Powershell 模块添加 Powershell 管理单元并多次导入
我想为我正在构建的自定义 Powershell Commandlet 使用 SqlServerCmdletSnapin。如果我将以下代码添加到 PSM1 的开头: if ( (Get-PSSnapin
powershell - 使用来自另一个 powershell 脚本的参数调用 PowerShell 脚本
如何调用从 PowerShell 脚本中获取命名参数的 PowerShell 脚本？ foo.ps1: param( [Parameter(Mandatory=$true)][String]$a=''
powershell - 何时选择开发 PowerShell 模块而不是 PowerShell 脚本
我即将为 Windows 管理员编写一个 PowerShell 脚本，以帮助他们完成与部署 Web 应用程序相关的某些任务。有什么理由让我应该赞成或排除开发 PowerShell 模块 (.psm1
powershell - 如何在不关闭 powershell 控制台的情况下从 Powershell 模块函数返回非零退出代码？
我的 powershell 模块有一个函数，我希望它返回一个非零退出代码。但是，作为一个模块函数，当我运行 Import-Module 时，它会加载到 powershell 控制台的上下文中。所以，当
powershell - 使用参数从 powershell 中调用 powershell 脚本时遇到问题
我在这个问题上花了最后 4 个小时，非常感谢您提供的任何意见。我需要使用不同的凭据调用 powershell 脚本并将参数传递给该脚本。安装 WISEScript 中包装的程序后，此脚本开始收集机
powershell - 有没有办法让我在 powershell 运行时以编程方式获取 Powershell 输入和输出？
我有一个场景，我需要将 powershell 命令的命令和输出转发到另一个进程以进行日志记录和处理。我希望这个控制台尽可能接近 powershell，因此不希望将它简单地托管在另一个控制台程序中。
powershell - 在 PowerShell 脚本中调用其他 PowerShell 脚本
我正在尝试让一个主 PowerShell 脚本运行所有其他脚本，同时等待 30-60 秒以确保完成任务。我尝试过的所有其他操作都不会停止/等待第一个脚本及其进程完成，然后才能同时完成所有其他脚本，并且
powershell - 如何从 Powershell 打开 Powershell 控制台窗口
我正在编写一个脚本来使用多个 plink (PuTTY) session 作为 Windows 版本的 clustersh。然而，我陷入困境，因为我想从 powershell 打开多个 Powersh
powershell - 如何从 Powershell 运行 Powershell x86？
我读了这个答案:How to Open Powershell from Powershell start powershell 这将打开基础的大分辨率 PS 实例。如何打开 PS(x86)？最佳答案
powershell - 我可以在 PowerShell 退出时将 PowerShell 历史记录写入文本文件吗？
我很想知道我们是否可以在 Powershell 中做到这一点。使用 Out-File 命令，我们可以通过管道将其输出写入文件。这样我就可以将我所有的历史命令发送到一个文本文件中。问题是我可以在每次
powershell - Powershell 中的管道
我在 about_Pipelines 阅读了有关 PowerShell 中的管道工作原理的信息，并了解到管道一次传送一个对象。所以，这个 Get-Service | Format-Table -Pr
powershell - powershell 启动过程出错
我正在尝试像这样从 powershell 启动一个进程:- $proc = (start-process $myExe -argumentList '/myArg True' -windowStyle
powershell - 表达式或语句中的意外标记 - powershell
## To run the script # .\get_status.ps1 -Hostname -Service_Action -Service_Name #$Hostname = "hos
powershell - Powershell 输出的自定义字体颜色
让我们使用 powershell 命令 Write-Host "red text"-Fore red这会在红色前景中显示“红色文本”。但是，您希望文本以稍微亮一点的方式显示字体颜色，浅红色。有没有

首页

博学

6Ren·AI

商城

powershell - Cryptolocker 蜜 jar FileSystemWatcher