ruoms
ruoms

关于sysmon的基本使用(1)

sysmon的基本使用(1)

  • 安装

     下载地址 :  https://download.sysinternals.com/files/Sysmon.zip

     Install:    Sysmon.exe -i <configfile> # 指定配置文件安装
             sysmon -accepteula  –i -n # 一键安装(使用sha1进行散列的过程映像,无网络监控)
             sysmon -accepteula -i -h md5,sha256 -n # 使用md5和sha256进行安装创建进程并监视网络连接
             sysmon -accepteula -i c\windows\config.xml # 使用配置文件安装Sysmon

             

[-h <[sha1|md5|sha256|imphash|*],...>] [-n [<process,...>]]
[-l (<process,...>)]

Configure:  Sysmon.exe -c <configfile> # 从文件读取修改配置信息 
            sysmon –c -- # 修改配置信息为默认配置
            sysmon -c # 转储配置文件
              [--|[-h <[sha1|md5|sha256|imphash|*],...>] [-n [<process,...>]]
               [-l [<process,...>]]]

Uninstall:  Sysmon.exe -u # 卸载 
 # 注 : 安装需要管理员权限 操作系统 windows 7+ 上日志会写入到  Logs/Microsoft/Windows/Sysmon/Operational 低版本windows 会写入到 system日志
  • 参数说明
         -d # 指定已安装设备驱动程序映像的名称。

     -c  # 更新或显示配置 如果没有提供其他参数,则为当前配置。可选获取配置文件。

     -h  # 指定hash记录的算法

     -i  # 安装,可用xml文件来更新配置文件

     -l  # 记录加载模块,可指定进程

     -m  # 安装事件清单

     -n  # 记录网络链接

     -r  # 检测证书是否撤销

     -u  # 卸载服务和驱动
     
     -s  # 打印配置架构 

     -? config # 查看配置文件写法

  • 配置文件说明

    • 官方给出的配置文件例子:
      <Sysmon schemaversion="4.21">

<HashAlgorithms>*HashAlgorithms> 
<EventFiltering> 


<DriverLoad onmatch="exclude"> 
     <Signature condition="contains">microsoftSignature>
     <Signature condition="contains">windowsSignature>
DriverLoad>


<ProcessTerminate onmatch="include" />


<NetworkConnect onmatch="include">
     <DestinationPort>443DestinationPort> 
     <DestinationPort>80DestinationPort>
NetworkConnect>
<NetworkConnect onmatch="exclude">
     <Image condition="end with">iexplore.exeImage>
NetworkConnect>
EventFiltering>
Sysmon>
 -- 配置条目直接位于Sysmon 标签下, 过滤器位于 EventFiltering 标签下
    • 过滤器标签
       ProcessCreate            进程创建
 FileCreateTime           文件创建时间更改
 NetworkConnect           检测到网络连接
 ProcessTerminate         进程终止
 DriverLoad               驱动程序已加载
 ImageLoad                镜像加载
 CreateRemoteThread       已检测到创建远程线程
 RawAccessRead            检测到原始访问读取
 ProcessAccess            已访问的进程
 FileCreate               文件创建
 RegistryEvent            添加或删除注册表对象
 RegistryEvent            注册表值设置
 RegistryEvent            注册表对象已重命名
 FileCreateStreamHash     已创建文件流
 PipeEvent                管道创建
 PipeEvent                管道已连接
 WmiEvent                 检测到WmiEventFilter活动 -- WmiEventFilter activity detected
 WmiEvent                 检测到WmiEventConsumer活动 -- WmiEventConsumer activity detected
 WmiEvent                 检测到WmiEventConsumerToFilter活动 -- WmiEventConsumerToFilter activity 
 DnsQuery                 DNS查询
    • 标签使用说明:
      使用onmacth标记配置文件中 过滤器规则 include exclude
include:
     仅包含include的规则配置 
exclude: 
     除去该规则配置, 其他全包含 
PS: 
     例如,此规则将丢弃进程创建中 IntegrityLevel 为中等的任何流程事件
      
          Medium
    • 过滤器标签的字段可以使用其他条件匹配该值
    --------------------------------------
注: 不区分大小写
--------------------------------------
字段如下:
     is             默认值, 等于
     is not         不等于 
     contains       包含
     excludes       不包含
     begin with     以此字段开始
     end with       以此字段结束
     less than      小于
     more than      大于 
     image          匹配镜像路径(完整路径或仅镜像名称) 
     例如:lsass.exe将匹配c:\windows\system32\lsass.exe
     
-----------------------------------------
    • 规则组:
      <EventFiltering>
     <RuleGroup name="group 1" groupRelation="and"> 
          <ProcessCreate onmatch="include"> 
          <Image condition="contains">timeout.exeImage> 
          <CommandLine condition="contains">100CommandLine>
          ProcessCreate>
     RuleGroup>
     <RuleGroup groupRelation="or">
          <ProcessTerminate onmatch="include">
          <Image condition="contains">timeout.exeImage> 
          <Image condition="contains">ping.exeImage>
          ProcessTerminate>
     RuleGroup>
     <ImageLoad onmatch="include"/>
EventFiltering>

      要让sysmon报告哪个规则匹配导致记录事件,请向规则添加名称:
<NetworkConnect onmatch="exclude">
     
     <Image name="network iexplore" condition="contains">iexplore.exeImage>
NetworkConnect>
  • 两个sysmon 配置文件
    	
	
	<Sysmon schemaversion="4.21">
		
		<HashAlgorithms>md5,sha256HashAlgorithms> 
		<CheckRevocation/> 
	
		 
		 
		 
	
		<EventFiltering>
	
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ProcessCreate onmatch="exclude">
				
				<ParentCommandLine condition="is">"C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" -EmbeddingParentCommandLine>
				<CommandLine condition="is"> "whoami" CommandLine> 
				<CommandLine condition="is"> "systeminfo" CommandLine> 
				<CommandLine condition="begin with"> "C:\Windows\system32\wermgr.exe" "-queuereporting_svc" CommandLine> 
				<CommandLine condition="begin with">C:\Windows\system32\DllHost.exe /ProcessidCommandLine> 
				<CommandLine condition="begin with">C:\Windows\system32\wbem\wmiprvse.exe -EmbeddingCommandLine> 
				<CommandLine condition="begin with">C:\Windows\system32\wbem\wmiprvse.exe -secured -EmbeddingCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\wermgr.exe -uploadCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\SearchIndexer.exe /EmbeddingCommandLine> 
				<CommandLine condition="is">C:\windows\system32\wermgr.exe -queuereportingCommandLine> 
				<CommandLine condition="is">\??\C:\Windows\system32\autochk.exe *CommandLine> 
				<CommandLine condition="is">\SystemRoot\System32\smss.exeCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\RuntimeBroker.exe -EmbeddingCommandLine> 
				<Image condition="is">C:\Program Files (x86)\Common Files\microsoft shared\ink\TabTip32.exeImage> 
				<Image condition="is">C:\Windows\System32\TokenBrokerCookies.exeImage> 
				<Image condition="is">C:\Windows\System32\plasrv.exeImage> 
				<Image condition="is">C:\Windows\System32\wifitask.exeImage> 
				<Image condition="is">C:\Windows\system32\CompatTelRunner.exeImage> 
				<Image condition="is">C:\Windows\system32\PrintIsolationHost.exeImage> 
				<Image condition="is">C:\Windows\system32\SppExtComObj.ExeImage> 
				<Image condition="is">C:\Windows\system32\audiodg.exeImage> 
				<Image condition="is">C:\Windows\system32\conhost.exeImage> 
				<Image condition="is">C:\Windows\system32\mobsync.exeImage> 
				<Image condition="is">C:\Windows\system32\musNotification.exeImage> 
				<Image condition="is">C:\Windows\system32\musNotificationUx.exeImage> 
				<Image condition="is">C:\Windows\system32\powercfg.exeImage> 
				<Image condition="is">C:\Windows\system32\sndVol.exeImage> 
				<Image condition="is">C:\Windows\system32\sppsvc.exeImage> 
				<Image condition="is">C:\Windows\system32\wbem\WmiApSrv.exeImage> 
				<IntegrityLevel condition="is">AppContainerIntegrityLevel> 
				<ParentCommandLine condition="begin with">%%SystemRoot%%\system32\csrss.exe ObjectDirectory=\WindowsParentCommandLine> 
				<ParentCommandLine condition="is">C:\windows\system32\wermgr.exe -queuereportingParentCommandLine> 
				<CommandLine condition="is">C:\WINDOWS\system32\devicecensus.exe UserCxtCommandLine>
				<CommandLine condition="is">C:\Windows\System32\usocoreworker.exe -EmbeddingCommandLine>
				<ParentImage condition="is">C:\Windows\system32\SearchIndexer.exeParentImage> 
				
				<Image condition="begin with">C:\Program Files\Windows DefenderImage> 
				<Image condition="is">C:\Windows\system32\MpSigStub.exeImage> 
				
				
				<CommandLine condition="is">C:\WINDOWS\System32\svchost.exe -k SafeMonorCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodel -s StateRepositoryCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodel -p -s camsvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodelCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodel -p -s tiledatamodelsvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k camera -s FrameServerCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k dcomlaunch -s LSMCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k dcomlaunch -s PlugPlayCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k defragsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k devicesflow -s DevicesFlowUserSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k imgsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s EventSystemCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s bthservCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k LocalService -p -s BthAvctpSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s nsiCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s w32TimeCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonationCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s DhcpCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s EventLogCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s TimeBrokerSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s WFDSConMgrSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -s BTAGServiceCommandLine>
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbServiceCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestrictedCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation -s SensrSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation -p -s SSDPSRVCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNoNetworkCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s WPDBusEnumCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s fhsvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s DeviceAssociationServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s NcbServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s SensorServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s TabletInputServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s UmRdpServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s WPDBusEnumCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s NgcSvcCommandLine>  
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -p -s NgcCtnrSvcCommandLine>  
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation -s SCardSvrCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauservCommandLine>
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k netsvcs -p -s SessionEnvCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s WdiSystemHostCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k localSystemNetworkRestricted -p -s WdiSystemHostCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestrictedCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s wlidsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s ncaSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s BDESVCCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k netsvcs -p -s BDESVCCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s BITSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s BITSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s CertPropSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s DsmSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s AppinfoCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s GpsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s ProfSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s SENSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s SessionEnvCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s ThemesCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s WinmgmtCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcsCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -p -s DoSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s DnscacheCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s LanmanWorkstationCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s NlaSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s TermServiceCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkServiceCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkServiceNetworkRestrictedCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k rPCSSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k secsvcsCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k swprvCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k unistackSvcGroupCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k utcsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wbioSvcGroupCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k werSvcGroupCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wusvcs -p -s WaaSMedicSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k wsappx -p -s ClipSVCCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wsappx -p -s AppXSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wsappx -s ClipSVCCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wsappxCommandLine> 
				<ParentCommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcsParentCommandLine> 
				<ParentCommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestrictedParentCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\deviceenroller.exe /c /AutoEnrollMDMCommandLine> 
				
				<CommandLine condition="begin with">"C:\Program Files (x86)\Microsoft\Edge Dev\Application\msedge.exe" --type=CommandLine>
				
				<CommandLine condition="begin with">C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exeCommandLine> 
				<CommandLine condition="begin with">C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\Ngen.exeCommandLine> 
				<Image condition="is">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exeImage> 
				<Image condition="is">C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exeImage> 
				<Image condition="is">C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exeImage> 
				<ParentCommandLine condition="contains">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngentask.exeParentCommandLine>
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exeParentImage> 
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngentask.exeParentImage> 
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exeParentImage> 
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngentask.exeParentImage> 
				
				<Image condition="is">C:\Program Files\Microsoft Office\Office16\MSOSYNC.EXEImage> 
				<Image condition="is">C:\Program Files (x86)\Microsoft Office\Office16\MSOSYNC.EXEImage> 
				<Image condition="is">C:\Program Files\Microsoft Office\Office15\MSOSYNC.EXEImage> 
				<Image condition="is">C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXEImage> 
				<Image condition="is">C:\Program Files\Microsoft Office\Office16\msoia.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exeImage>
				
				<Image condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exeImage> 
				<ParentImage condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exeParentImage> 
				<ParentImage condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exeParentImage> 
				
				<Image condition="is">C:\Program Files\Windows Media Player\wmpnscfg.exeImage> 
				
				<CommandLine condition="begin with">"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=CommandLine> 
				<CommandLine condition="begin with">"C:\Program Files\Google\Chrome\Application\chrome.exe" --type=CommandLine> 
				
				<CommandLine condition="begin with">"C:\Program Files\Mozilla Firefox\plugin-container.exe" --channelCommandLine> 
				<CommandLine condition="begin with">"C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe" --channelCommandLine> 
				
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exeParentImage>
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\LogTransport2.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat 2015\Acrobat\AcroCEF\AcroCEF.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat 2015\Acrobat\LogTransport2.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroCEF\RdrCEF.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\LogTransport2.exeImage> 
				<CommandLine condition="begin with">"C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe" /CR CommandLine> 
				<CommandLine condition="begin with">"C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe" --channel=CommandLine> 
				
				<Image condition="is">C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exeImage> 
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exeParentImage> 
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exeImage>
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\HEX\Adobe CEF Helper.exeImage>
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AdobeGCClient.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P7\adobe_licutil.exeImage> 
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P7\adobe_licutil.exeParentImage> 
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exeImage>
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exeParentImage>
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exeImage>
				<ParentImage condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exeParentImage>
				<ParentImage condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCXProcess\CCXProcess.exeParentImage>
				<ParentImage condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSync\CoreSync.exeParentImage>
				
				<ParentImage condition="is">C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\agent.exeParentImage> 
				
					
				<CommandLine condition="is">C:\Windows\system32\igfxsrvc.exe -EmbeddingCommandLine>
				<ParentImage condition="is">C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exeParentImage> 
			ProcessCreate>
		RuleGroup>
		
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<FileCreateTime onmatch="include">
				<Image name="T1099" condition="begin with">C:\UsersImage> 
				<TargetFilename name="T1099" condition="end with">.exeTargetFilename> 
				<Image name="T1099" condition="begin with">\Device\HarddiskVolumeShadowCopyImage> 
			FileCreateTime>
	
			<FileCreateTime onmatch="exclude">
				<Image condition="image">OneDrive.exeImage> 
				<Image condition="image">C:\Windows\system32\backgroundTaskHost.exeImage>
				<Image condition="contains">setupImage> 
				<Image condition="contains">installImage> 
				<Image condition="contains">Update\Image> 
				<Image condition="end with">redist.exeImage> 
				<Image condition="is">msiexec.exeImage> 
				<Image condition="is">TrustedInstaller.exeImage> 
			FileCreateTime>
		RuleGroup>
	
		
			
			
			
			
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<NetworkConnect onmatch="include">
				
				<Image name="Usermode" condition="begin with">C:\UsersImage> 
				<Image name="Caution!" condition="begin with">C:\RecyleImage> 
				<Image condition="begin with">C:\ProgramDataImage> 
				<Image condition="begin with">C:\Windows\TempImage> 
				<Image name="Caution!" condition="begin with">\Image> 
				<Image name="Caution!" condition="begin with">C:\perflogsImage> 
				<Image name="Caution!" condition="begin with">C:\intelImage> 
				<Image name="Caution!" condition="begin with">C:\Windows\fontsImage> 
				<Image name="Caution!" condition="begin with">C:\Windows\system32\configImage> 
				
				<Image condition="image">at.exeImage> 
				<Image condition="image">certutil.exeImage> 
				<Image condition="image">cmd.exeImage> 
				<Image condition="image">cmstp.exeImage> 
				<Image condition="image">cscript.exeImage> 
				<Image condition="image">driverquery.exeImage> 
				<Image condition="image">dsquery.exeImage> 
				<Image condition="image">hh.exeImage> 
				<Image condition="image">infDefaultInstall.exeImage> 
				<Image condition="image">java.exeImage> 
				<Image condition="image">javaw.exeImage> 
				<Image condition="image">javaws.exeImage> 
				<Image condition="image">mmc.exeImage> 
				<Image condition="image">msbuild.exeImage> 
				<Image condition="image">mshta.exeImage> 
				<Image condition="image">msiexec.exeImage> 
				<Image condition="image">nbtstat.exeImage> 
				<Image condition="image">net.exeImage> 
				<Image condition="image">net1.exeImage> 
				<Image condition="image">notepad.exeImage> 
				<Image condition="image">nslookup.exeImage> 
				<Image condition="image">powershell.exeImage> 
				<Image condition="image">qprocess.exeImage> 
				<Image condition="image">qwinsta.exeImage> 
				<Image condition="image">qwinsta.exeImage> 
				<Image condition="image">reg.exeImage> 
				<Image condition="image">regsvcs.exeImage> 
				<Image condition="image">regsvr32.exeImage> 
				<Image condition="image">rundll32.exeImage> 
				<Image condition="image">rwinsta.exeImage> 
				<Image condition="image">sc.exeImage> 
				<Image condition="image">schtasks.exeImage> 
				<Image condition="image">taskkill.exeImage> 
				<Image condition="image">tasklist.exeImage> 
				<Image condition="image">wmic.exeImage> 
				<Image condition="image">wscript.exeImage> 
				
				<Image condition="image">nc.exeImage> 
				<Image condition="image">ncat.exeImage> 
				<Image condition="image">psexec.exeImage> 
				<Image condition="image">psexesvc.exeImage> 
				<Image condition="image">tor.exeImage> 
				<Image condition="image">vnc.exeImage> 
				<Image condition="image">vncservice.exeImage> 
				<Image condition="image">vncviewer.exeImage> 
				<Image condition="image">winexesvc.exeImage> 
				<Image condition="image">nmap.exeImage>
				<Image condition="image">psinfo.exeImage>
				<Image condition="image">bitsadmin.exeImage>
				
				<DestinationPort name="CVE-2017-11882" condition="is">587DestinationPort>
				<DestinationPort name="SMB" condition="is">139DestinationPort>
				<DestinationPort name="SMB" condition="is">445DestinationPort>
				<DestinationPort name="RPC" condition="is">135DestinationPort>
				<DestinationPort name="DNS" condition="is">53DestinationPort>
				<DestinationPort name="HTTPS" condition="is">443DestinationPort>
				<DestinationPort name="FTP" condition="is">21DestinationPort> 
				<DestinationPort name="SSH" condition="is">22DestinationPort> 
				<DestinationPort name="Telnet" condition="is">23DestinationPort> 
				<DestinationPort name="SMTP" condition="is">25DestinationPort> 
				<DestinationPort name="IMAP" condition="is">142DestinationPort> 
				<DestinationPort name="RDP" condition="is">3389DestinationPort> 
				<DestinationPort name="VNC" condition="is">5800DestinationPort> 
				<DestinationPort name="VNC" condition="is">5900DestinationPort> 
				<DestinationPort name="Alert,Metasploit" condition="begin with">4444DestinationPort>
				<DestinationPort name="Alert,Metasploit" condition="begin with">4445DestinationPort>
				<DestinationPort name="Alert,Metasploit" condition="begin with">4446DestinationPort>
				<DestinationPort name="Alert,Metasploit" condition="end with">1337DestinationPort>
				
				<DestinationPort name="Proxy" condition="is">1080DestinationPort> 
				<DestinationPort name="Proxy" condition="is">3128DestinationPort> 
				<DestinationPort name="Proxy" condition="is">8080DestinationPort> 
				
				<DestinationPort name="Tor" condition="is">1723DestinationPort> 
				<DestinationPort name="Tor/IPsec" condition="is">4500DestinationPort> 
				<DestinationPort name="Tor" condition="is">9001DestinationPort> 
				<DestinationPort name="Tor" condition="is">9030DestinationPort> 
			NetworkConnect>
	
			<NetworkConnect onmatch="exclude">
				
				<Image condition="end with">AppData\Roaming\Dropbox\bin\Dropbox.exeImage> 
				<Image condition="end with">AppData\Local\Microsoft\Teams\current\Teams.exeImage> 
				<Image condition="end with">AppData\Roaming\Spotify\Spotify.exeImage> 
				
				<Image condition="end with">AppData\Local\Microsoft\Teams\current\Teams.exeImage> 
				<DestinationHostname condition="end with">.microsoft.comDestinationHostname> 
				<DestinationHostname condition="end with">microsoft.com.akadns.netDestinationHostname> 
				<DestinationHostname condition="end with">microsoft.com.nsatc.netDestinationHostname> 
			NetworkConnect>
		RuleGroup>
	
		
	
			
			
	
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ProcessTerminate onmatch="include">
				<Image condition="begin with">C:\UsersImage> 
				<Image condition="begin with">\Image> 
			ProcessTerminate>
	
			<ProcessTerminate onmatch="exclude">
			ProcessTerminate>
		RuleGroup>
	
		
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<DriverLoad onmatch="exclude">
				<Signature condition="contains">microsoftSignature> 
				<Signature condition="contains">windowsSignature> 
				<Signature condition="begin with">Intel Signature> 
			DriverLoad>
		RuleGroup>
	
		
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ImageLoad onmatch="include">
				
			ImageLoad>
		RuleGroup>
	
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<CreateRemoteThread onmatch="exclude">
				
				<SourceImage condition="is">C:\Windows\system32\wbem\WmiPrvSE.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\svchost.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\wininit.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\csrss.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\services.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\winlogon.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\audiodg.exeSourceImage>
				<StartModule condition="is">C:\Windows\system32\kernel32.dllStartModule>
				<TargetImage condition="is">C:\Program Files (x86)\Google\Chrome\Application\chrome.exeTargetImage> 
			CreateRemoteThread>
		RuleGroup>
	
		
			
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<RawAccessRead onmatch="include">
				
			RawAccessRead>
		RuleGroup>
	
		
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ProcessAccess onmatch="include">
				
			ProcessAccess>
		RuleGroup>
	
		
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<FileCreate onmatch="include">
				<TargetFilename name="T1023" condition="contains">\Start MenuTargetFilename> 
				<TargetFilename name="T1165" condition="contains">\Startup\TargetFilename> 
				<TargetFilename condition="contains">\Content.Outlook\TargetFilename> 
				<TargetFilename name="FileCreate-Downloads" condition="contains">\Downloads\TargetFilename> 
				<TargetFilename condition="end with">.applicationTargetFilename> 
				<TargetFilename condition="end with">.appref-msTargetFilename> 
				<TargetFilename condition="end with">.batTargetFilename> 
				<TargetFilename condition="end with">.chmTargetFilename>
				<TargetFilename condition="end with">.cmdTargetFilename> 
				<TargetFilename condition="end with">.cmdlineTargetFilename> 
				<TargetFilename name="T1176" condition="end with">.crxTargetFilename> 
				<TargetFilename condition="end with">.docmTargetFilename> 
				<TargetFilename condition="end with">.dllTargetFilename> 
				<TargetFilename condition="end with">.exeTargetFilename> 
				<TargetFilename condition="end with">.jarTargetFilename> 
				<TargetFilename condition="end with">.jnlpTargetFilename> 
				<TargetFilename condition="end with">.jseTargetFilename> 
				<TargetFilename condition="end with">.htaTargetFilename> 
				<TargetFilename condition="end with">.pptmTargetFilename> 
				<TargetFilename condition="end with">.ps1TargetFilename> 
				<TargetFilename condition="end with">.sysTargetFilename> 
				<TargetFilename condition="end with">.scrTargetFilename> 
				<TargetFilename condition="end with">.vbeTargetFilename> 
				<TargetFilename condition="end with">.vbsTargetFilename> 
				<TargetFilename condition="end with">.xlsmTargetFilename> 
				<TargetFilename condition="end with">projTargetFilename>
				<TargetFilename condition="end with">.slnTargetFilename>
				<TargetFilename condition="begin with">C:\Users\DefaultTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\DriversTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\SysWOW64\DriversTargetFilename> 
				<TargetFilename name="T1037,T1484" condition="begin with">C:\Windows\system32\GroupPolicy\Machine\ScriptsTargetFilename> 
				<TargetFilename name="T1037,T1484" condition="begin with">C:\Windows\system32\GroupPolicy\User\ScriptsTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\WbemTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\SysWOW64\WbemTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\WindowsPowerShellTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\SysWOW64\WindowsPowerShellTargetFilename> 
				<TargetFilename name="T1053" condition="begin with">C:\Windows\Tasks\TargetFilename> 
				<TargetFilename name="T1053" condition="begin with">C:\Windows\system32\TasksTargetFilename> 
				<Image condition="begin with">\Device\HarddiskVolumeShadowCopyImage> 
				
				<TargetFilename condition="begin with">C:\Windows\AppPatch\CustomTargetFilename> 
				<TargetFilename condition="contains">VirtualStoreTargetFilename> 
				
				<TargetFilename condition="end with">.xlsTargetFilename> 
				<TargetFilename condition="end with">.pptTargetFilename> 
				<TargetFilename condition="end with">.rtfTargetFilename> 
			FileCreate>
	
			<FileCreate onmatch="exclude">
				
				<Image condition="is">C:\Program Files (x86)\EMET 5.5\EMET_Service.exeImage> 
				
				<TargetFilename condition="is">C:\Windows\System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTaskTargetFilename>
				
				<Image condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exeImage> 
				
				<Image condition="is">C:\Windows\system32\smss.exeImage> 
				<Image condition="is">C:\Windows\system32\CompatTelRunner.exeImage> 
				<Image condition="is">\\?\C:\Windows\system32\wbem\WMIADAP.EXEImage> 
				<Image condition="is">C:\Windows\system32\mobsync.exeImage> 
				<TargetFilename condition="begin with">C:\Windows\system32\DriverStore\Temp\TargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\wbem\Performance\TargetFilename> 
				<TargetFilename condition="end with">WRITABLE.TSTTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\Installer\TargetFilename> 
				
				<TargetFilename condition="begin with">C:\$WINDOWS.~BT\Sources\TargetFilename> 
				<Image condition="begin with">C:\Windows\winsxs\amd64_microsoft-windowsImage> 
				
				<Image condition="is">C:\Windows\system32\igfxCUIService.exeImage> 
			FileCreate>
		RuleGroup>
	
		
			
			
			
	
			
			
			
			
	
			
			
			
			
			
	
			
	
			
		<RuleGroup name="" groupRelation="or">
			<RegistryEvent onmatch="include">
				
					
					
					
					
				<TargetObject name="T1060,RunKey" condition="contains">CurrentVersion\RunTargetObject> 
				<TargetObject name="T1060,RunPolicy" condition="contains">Policies\Explorer\RunTargetObject> 
				<TargetObject name="T1484" condition="contains">Group Policy\ScriptsTargetObject> 
				<TargetObject name="T1484" condition="contains">Windows\System\ScriptsTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Windows\LoadTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Windows\RunTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Winlogon\ShellTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Winlogon\SystemTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyTargetObject> 
				<TargetObject condition="begin with">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ShellTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32TargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecuteTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebugTargetObject> 
				<TargetObject condition="contains">UserInitMprLogonScriptTargetObject> 
				<TargetObject name="T1112,ChangeStartupFolderPath" condition="end with">user shell folders\startupTargetObject> 
				
				<TargetObject name="T1031,T1050" condition="end with">\ServiceDllTargetObject> 
				<TargetObject name="T1031,T1050" condition="end with">\ServiceManifestTargetObject> 
				<TargetObject name="T1031,T1050" condition="end with">\ImagePathTargetObject> 
				<TargetObject name="T1031,T1050" condition="end with">\StartTargetObject> 
				
				<TargetObject name="RDP port change" condition="end with">Control\Terminal Server\WinStations\RDP-Tcp\PortNumberTargetObject> 
				<TargetObject name="RDP port change" condition="end with">Control\Terminal Server\fSingleSessionPerUserTargetObject>
				<TargetObject name="ModifyRemoteDesktopState" condition="end with">fDenyTSConnectionsTargetObject>
				<TargetObject condition="end with">LastLoggedOnUserTargetObject>
				<TargetObject name="ModifyRemoteDesktopPort" condition="end with">RDP-tcp\PortNumberTargetObject>
				<TargetObject condition="end with">Services\PortProxy\v4tov4TargetObject>
	
				
				<TargetObject name="T1042" condition="contains">\command\TargetObject> 
				<TargetObject name="T1122" condition="contains">\ddeexec\TargetObject> 
				<TargetObject name="T1122" condition="contains">{86C86720-42A0-1069-A2E8-08002B30309D}TargetObject> 
				<TargetObject name="T1042" condition="contains">exefileTargetObject> 
				
				<TargetObject condition="end with">\InprocServer32\(Default)TargetObject> 
				
				<TargetObject name="T1158" condition="end with">\HiddenTargetObject> 
				<TargetObject name="T1158" condition="end with">\ShowSuperHiddenTargetObject> 
				<TargetObject name="T1158" condition="end with">\HideFileExtTargetObject> 
				
				<TargetObject condition="contains">Classes\*\TargetObject> 
				<TargetObject condition="contains">Classes\AllFilesystemObjects\TargetObject> 
				<TargetObject condition="contains">Classes\Directory\TargetObject> 
				<TargetObject condition="contains">Classes\Drive\TargetObject> 
				<TargetObject condition="contains">Classes\Folder\TargetObject> 
				<TargetObject condition="contains">ContextMenuHandlers\TargetObject> 
				<TargetObject condition="contains">CurrentVersion\ShellTargetObject> 
				<TargetObject condition="begin with">HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooksTargetObject> 
				<TargetObject condition="begin with">HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjectDelayLoadTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiersTargetObject> 
				
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\TargetObject> 
				
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\InitialProgramTargetObject> 
				
				<TargetObject name="T1484" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\TargetObject> 
				
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Services\WinSock\TargetObject> 
				<TargetObject condition="end with">\ProxyServerTargetObject> 
				
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential ProviderTargetObject> 
				<TargetObject name="T1101" condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\TargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProvidersTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\NetshTargetObject> 
				
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order\TargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\ProfilesTargetObject> 
				<TargetObject name="T1089" condition="end with">\EnableFirewallTargetObject> 
				<TargetObject name="T1089" condition="end with">\DoNotAllowExceptionsTargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\ListTargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\ListTargetObject> 
				
				<TargetObject name="T1103" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls\TargetObject> 
				<TargetObject name="T1103" condition="begin with">HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls\TargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\TargetObject> 
				
				<TargetObject name="T1137" condition="contains">Microsoft\Office\Outlook\Addins\TargetObject> 
				<TargetObject name="T1137" condition="contains">Office Test\TargetObject> 
				<TargetObject name="Context,ProtectedModeExitOrMacrosUsed" condition="contains">Security\Trusted Documents\TrustRecordsTargetObject> 
				
				<TargetObject name="T1176" condition="contains">Internet Explorer\Toolbar\TargetObject> 
				<TargetObject name="T1176" condition="contains">Internet Explorer\Extensions\TargetObject> 
				<TargetObject name="T1176" condition="contains">Browser Helper Objects\TargetObject> 
				<TargetObject condition="end with">\DisableSecuritySettingsCheckTargetObject>
				<TargetObject condition="end with">\3\1206TargetObject> 
				<TargetObject condition="end with">\3\2500TargetObject> 
				<TargetObject condition="end with">\3\1809TargetObject> 
				
				<TargetObject condition="contains">{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\TargetObject> 
				<TargetObject name="Alert,Sysinternals Tool Used" condition="end with">\EulaAcceptedTargetObject> 
				
				<TargetObject condition="end with">\UrlUpdateInfoTargetObject> 
				<TargetObject condition="end with">\InstallSourceTargetObject> 
				
				<TargetObject name="T1089,Tamper-Defender" condition="end with">\DisableAntiSpywareTargetObject> 
				<TargetObject name="T1089,Tamper-Defender" condition="end with">\DisableAntiVirusTargetObject> 
				
				<TargetObject name="T1088" condition="end with">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUATargetObject> 
				<TargetObject name="T1088" condition="end with">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicyTargetObject> 
				
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\AllAlertsDisabledTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverrideTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\DisableMonitoringTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverrideTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideSCAHealthTargetObject> 
				
				<TargetObject name="T1138,AppCompatShim" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CustomTargetObject> 
				<TargetObject name="T1138,AppCompatShim" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDBTargetObject> 
				<TargetObject condition="contains">VirtualStoreTargetObject> 
				
				<TargetObject name="T1183,IFEO" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\TargetObject> 
				<TargetObject name="Tamper-Safemode" condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Safeboot\TargetObject> 
				<TargetObject name="Tamper-Winlogon" condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\TargetObject> 
				<TargetObject name="Context,DeviceConntectedOrUpdated" condition="end with">\FriendlyNameTargetObject> 
				<TargetObject name="Context,MsiInstallerStarted" condition="is">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\InProgress\(Default)TargetObject> 
				<TargetObject name="Tamper-Tracing" condition="begin with">HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32TargetObject> 
				
				<TargetObject name="InvDB-Path" condition="end with">\LowerCaseLongPathTargetObject> 
				<TargetObject name="InvDB-Pub" condition="end with">\PublisherTargetObject> 
				<TargetObject name="InvDB-Ver" condition="end with">\ProductVersionTargetObject> 
				<TargetObject name="InvDB-CompileTimeClaim" condition="end with">\LinkDateTargetObject> 
				<TargetObject name="InvDB" condition="contains">Compatibility Assistant\Store\TargetObject>
				
				<Image name="Suspicious,ImageBeginWithBackslash" condition="begin with">\Image> 
			RegistryEvent>
	
			<RegistryEvent onmatch="exclude">
			
	
			
	
				<TargetObject condition="begin with">HKLM\COMPONENTSTargetObject>
	
				
	
				
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModel\StateRepository\CacheTargetObject>
				
				<TargetObject condition="end with">Toolbar\WebBrowserTargetObject> 
				<TargetObject condition="end with">Browser\ITBar7HeightTargetObject> 
				<TargetObject condition="end with">Browser\ITBar7LayoutTargetObject> 
				<TargetObject condition="end with">Internet Explorer\Toolbar\LockedTargetObject> 
				<TargetObject condition="end with">Toolbar\WebBrowser\{47833539-D0C5-4125-9FA8-0819E2EAAC93}TargetObject> 
				<TargetObject condition="end with">}\PreviousPolicyAreasTargetObject> 
				<TargetObject condition="contains">\Control\WMI\Autologger\TargetObject> 
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc\StartTargetObject> 
				<TargetObject condition="end with">\Lsa\OfflineJoin\CurrentValueTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\TargetObject> 
				<TargetObject condition="contains">_Classes\AppXTargetObject>  
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\TargetObject> 
				
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaPidTargetObject> 
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SspiCacheTargetObject>  
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\DomainsTargetObject>  
				
				<TargetObject condition="end with">\Services\BITS\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v2.0.50727_32\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v2.0.50727_64\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v4.0.30319_32\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v4.0.30319_64\StartTargetObject> 
				<TargetObject condition="end with">\services\deviceAssociationService\StartTargetObject> 
				<TargetObject condition="end with">\services\fhsvc\StartTargetObject> 
				<TargetObject condition="end with">\services\nal\StartTargetObject> 
				<TargetObject condition="end with">\services\trustedInstaller\StartTargetObject> 
				<TargetObject condition="end with">\services\tunnel\StartTargetObject> 
				<TargetObject condition="end with">\services\usoSvc\StartTargetObject> 
				
				<TargetObject condition="end with">\UserChoice\ProgIdTargetObject>  
				<TargetObject condition="end with">\UserChoice\HashTargetObject>  
				<TargetObject condition="end with">\OpenWithList\MRUListTargetObject> 
				<TargetObject condition="contains">Shell Extentions\CachedTargetObject>  
				
				<TargetObject condition="end with">HKLM\System\CurrentControlSet\Control\Lsa\Audit\SpecialGroupsTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\PSScriptOrderTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\SOM-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\GPO-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\0\IsPowershellTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\0\ExecTimeTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\PSScriptOrderTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\SOM-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\GPO-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\0\IsPowershellTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\0\ExecTimeTargetObject> 
				<TargetObject condition="contains">\safer\codeidentifiers\0\HASHES\{TargetObject> 
				
				<TargetObject condition="contains">VirtualStore\MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\TargetObject> 
				
				<Image condition="is">C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exeImage> 
				<TargetObject condition="begin with">HKCR\VLC.TargetObject> 
				<TargetObject condition="begin with">HKCR\iTunes.TargetObject> 
				
				<TargetObject condition="is">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{945a8954-c147-4acd-923f-40c45405a658}TargetObject> 
			RegistryEvent>
		RuleGroup>
	
		
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<FileCreateStreamHash onmatch="include">
				<TargetFilename name="FileStream-Downloads" condition="contains">DownloadsTargetFilename> 
				<TargetFilename condition="contains">Temp\7zTargetFilename> 
				<TargetFilename condition="contains">StartupTargetFilename> 
				<TargetFilename condition="end with">.batTargetFilename> 
				<TargetFilename condition="end with">.cmdTargetFilename> 
				<TargetFilename condition="end with">.htaTargetFilename> 
				<TargetFilename condition="end with">.lnkTargetFilename> 
				<TargetFilename condition="end with">.ps1TargetFilename> 
				<TargetFilename condition="end with">.ps2TargetFilename> 
				<TargetFilename condition="end with">.regTargetFilename> 
				<TargetFilename condition="end with">.jseTargetFilename> 
				<TargetFilename condition="end with">.vbTargetFilename> 
				<TargetFilename condition="end with">.vbeTargetFilename> 
				<TargetFilename condition="end with">.vbsTargetFilename> 
			FileCreateStreamHash>
	
			<FileCreateStreamHash onmatch="exclude">
			FileCreateStreamHash>
		RuleGroup>
	
		
			
			
			
			
			
	
		
			
			
	
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<PipeEvent onmatch="include">
				
			PipeEvent>
		RuleGroup>
	
		
			
			
			
	
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<WmiEvent onmatch="exclude">
				
			WmiEvent>
		RuleGroup>
	
		
			
	
			
	
			
	
			
	
			
	
			
			
			
			
	
			
			
	
			
	
			
			
			
			
			
			
	
		<RuleGroup name="" groupRelation="or">
			<DnsQuery onmatch="exclude">
				
				<QueryName condition="end with">.arpa.QueryName> 
				<QueryName condition="end with">.arpaQueryName> 
				<QueryName condition="end with">.msftncsi.comQueryName> 
				<QueryName condition="is">..localmachineQueryName>
				
				<QueryName condition="end with">-pushp.svc.msQueryName> 
				<QueryName condition="end with">.b-msedge.netQueryName> 
				<QueryName condition="end with">.bing.comQueryName> 
				<QueryName condition="end with">.hotmail.comQueryName> 
				<QueryName condition="end with">.live.comQueryName> 
				<QueryName condition="end with">.live.netQueryName> 
				<QueryName condition="end with">.s-microsoft.comQueryName> 
				<QueryName condition="end with">.microsoft.comQueryName> 
				<QueryName condition="end with">.microsoftonline.comQueryName> 
				<QueryName condition="end with">.microsoftstore.comQueryName> 
				<QueryName condition="end with">.ms-acdc.office.comQueryName> 
				<QueryName condition="end with">.msedge.netQueryName> 
				<QueryName condition="end with">.msn.comQueryName> 
				<QueryName condition="end with">.msocdn.comQueryName> 
				<QueryName condition="end with">.skype.comQueryName> 
				<QueryName condition="end with">.skype.netQueryName> 
				<QueryName condition="end with">.windows.comQueryName> 
				<QueryName condition="end with">.windows.net.nsatc.netQueryName> 
				<QueryName condition="end with">.windowsupdate.comQueryName> 
				<QueryName condition="end with">.xboxlive.comQueryName> 
				<QueryName condition="is">login.windows.netQueryName> 
				
				<QueryName condition="end with">.activedirectory.windowsazure.comQueryName> 
				<QueryName condition="end with">.aria.microsoft.comQueryName> 
				<QueryName condition="end with">.msauth.netQueryName>
				<QueryName condition="end with">.msftauth.netQueryName>
				<QueryName condition="end with">.opinsights.azure.comQueryName> 
				<QueryName condition="is">management.azure.comQueryName> 
				<QueryName condition="is">outlook.office365.comQueryName> 
				<QueryName condition="is">portal.azure.comQueryName> 
				
				<QueryName condition="end with">.mozaws.netQueryName> 
				<QueryName condition="end with">.mozilla.comQueryName> 
				<QueryName condition="end with">.mozilla.netQueryName> 
				<QueryName condition="end with">.mozilla.orgQueryName> 
				<QueryName condition="end with">.spotify.comQueryName> 
				<QueryName condition="end with">.spotify.map.fastly.netQueryName> 
				<QueryName condition="is">clients1.google.comQueryName> 
				<QueryName condition="is">clients2.google.comQueryName> 
				<QueryName condition="is">clients3.google.comQueryName> 
				<QueryName condition="is">clients4.google.comQueryName> 
				<QueryName condition="is">clients5.google.comQueryName> 
				<QueryName condition="is">clients6.google.comQueryName> 
				<QueryName condition="is">safebrowsing.googleapis.comQueryName> 
				
				<QueryName condition="end with">.akadns.netQueryName> 
				<QueryName condition="end with">.netflix.comQueryName>
				<QueryName condition="end with">aspnetcdn.comQueryName> 
				<QueryName condition="is">ajax.googleapis.comQueryName>
				<QueryName condition="is">cdnjs.cloudflare.comQueryName> 
				<QueryName condition="is">fonts.googleapis.comQueryName> 
				<QueryName condition="end with">.typekit.netQueryName> 
				<QueryName condition="is">cdnjs.cloudflare.comQueryName>
	
				
				<QueryName condition="end with">.steamcontent.comQueryName> 
				
				<QueryName condition="end with">.disqus.comQueryName> 
				<QueryName condition="end with">.fontawesome.comQueryName>
				<QueryName condition="is">disqus.comQueryName> 
				
				<QueryName condition="end with">.2mdn.netQueryName> 
				<QueryName condition="end with">.adadvisor.netQueryName> 
				<QueryName condition="end with">.adap.tvQueryName> 
				<QueryName condition="end with">.addthis.comQueryName> 
				<QueryName condition="end with">.adform.netQueryName> 
				<QueryName condition="end with">.adnxs.comQueryName> 
				<QueryName condition="end with">.adroll.comQueryName> 
				<QueryName condition="end with">.adsafeprotected.comQueryName> 
				<QueryName condition="end with">.adsrvr.orgQueryName> 
				<QueryName condition="end with">.advertising.comQueryName> 
				<QueryName condition="end with">.amazon-adsystem.comQueryName> 
				<QueryName condition="end with">.amazon-adsystem.comQueryName> 
				<QueryName condition="end with">.analytics.yahoo.comQueryName> 
				<QueryName condition="end with">.aol.comQueryName> 
				<QueryName condition="end with">.betrad.comQueryName> 
				<QueryName condition="end with">.bidswitch.netQueryName> 
				<QueryName condition="end with">.casalemedia.comQueryName> 
				<QueryName condition="end with">.chartbeat.netQueryName> 
				<QueryName condition="end with">.cnn.comQueryName> 
				<QueryName condition="end with">.convertro.comQueryName> 
				<QueryName condition="end with">.criteo.comQueryName> 
				<QueryName condition="end with">.criteo.netQueryName> 
				<QueryName condition="end with">.crwdcntrl.netQueryName> 
				<QueryName condition="end with">.demdex.netQueryName> 
				<QueryName condition="end with">.domdex.comQueryName> 
				<QueryName condition="end with">.dotomi.comQueryName> 
				<QueryName condition="end with">.doubleclick.netQueryName> 
				<QueryName condition="end with">.doubleverify.comQueryName> 
				<QueryName condition="end with">.emxdgt.comQueryName> 
				<QueryName condition="end with">.exelator.comQueryName> 
				<QueryName condition="end with">.google-analytics.comQueryName> 
				<QueryName condition="end with">.googleadservices.comQueryName> 
				<QueryName condition="end with">.googlesyndication.comQueryName> 
				<QueryName condition="end with">.googletagmanager.comQueryName> 
				<QueryName condition="end with">.googlevideo.comQueryName> 
				<QueryName condition="end with">.gstatic.comQueryName> 
				<QueryName condition="end with">.gvt1.comQueryName> 
				<QueryName condition="end with">.gvt2.comQueryName> 
				<QueryName condition="end with">.ib-ibi.comQueryName> 
				<QueryName condition="end with">.jivox.comQueryName> 
				<QueryName condition="end with">.mathtag.comQueryName> 
				<QueryName condition="end with">.moatads.comQueryName> 
				<QueryName condition="end with">.moatpixel.comQueryName> 
				<QueryName condition="end with">.mookie1.comQueryName> 
				<QueryName condition="end with">.myvisualiq.netQueryName> 
				<QueryName condition="end with">.netmng.comQueryName> 
				<QueryName condition="end with">.nexac.comQueryName> 
				<QueryName condition="end with">.nexac.comQueryName> 
				<QueryName condition="end with">.openx.netQueryName> 
				<QueryName condition="end with">.optimizely.comQueryName> 
				<QueryName condition="end with">.outbrain.comQueryName> 
				<QueryName condition="end with">.pardot.comQueryName> 
				<QueryName condition="end with">.phx.gblQueryName> 
				<QueryName condition="end with">.pinterest.comQueryName> 
				<QueryName condition="end with">.pubmatic.comQueryName> 
				<QueryName condition="end with">.quantcount.comQueryName>
				<QueryName condition="end with">.quantserve.comQueryName>
				<QueryName condition="end with">.revsci.netQueryName> 
				<QueryName condition="end with">.rfihub.netQueryName> 
				<QueryName condition="end with">.rlcdn.comQueryName> 
				<QueryName condition="end with">.rubiconproject.comQueryName> 
				<QueryName condition="end with">.scdn.coQueryName> 
				<QueryName condition="end with">.scorecardresearch.comQueryName> 
				<QueryName condition="end with">.serving-sys.comQueryName> 
				<QueryName condition="end with">.sharethrough.comQueryName> 
				<QueryName condition="end with">.simpli.fiQueryName>
				<QueryName condition="end with">.sitescout.comQueryName> 
				<QueryName condition="end with">.smartadserver.comQueryName> 
				<QueryName condition="end with">.snapads.comQueryName> 
				<QueryName condition="end with">.spotxchange.comQueryName> 
				<QueryName condition="end with">.1rx.ioQueryName> 
				<QueryName condition="end with">.adrta.comQueryName> 
				<QueryName condition="end with">.taboola.comQueryName> 
				<QueryName condition="end with">.taboola.map.fastly.netQueryName> 
				<QueryName condition="end with">.tapad.comQueryName>
				<QueryName condition="end with">.tidaltv.comQueryName> 
				<QueryName condition="end with">.trafficmanager.netQueryName> 
				<QueryName condition="end with">.tremorhub.comQueryName> 
				<QueryName condition="end with">.tribalfusion.comQueryName> 
				<QueryName condition="end with">.turn.comQueryName> 
				<QueryName condition="end with">.twimg.comQueryName> 
				<QueryName condition="end with">.tynt.comQueryName> 
				<QueryName condition="end with">.w55c.netQueryName> 
				<QueryName condition="end with">.ytimg.comQueryName> 
				<QueryName condition="end with">.zorosrv.comQueryName> 
				<QueryName condition="is">adservice.google.comQueryName> 
				<QueryName condition="is">ampcid.google.comQueryName> 
				<QueryName condition="is">clientservices.googleapis.comQueryName> 
				<QueryName condition="is">d29x207vrinatv.cloudfront.netQueryName> 
				<QueryName condition="is">googleadapis.l.google.comQueryName> 
				<QueryName condition="is">imasdk.googleapis.comQueryName> 
				<QueryName condition="is">l.google.comQueryName> 
				<QueryName condition="is">ml314.comQueryName> 
				<QueryName condition="is">mtalk.google.comQueryName> 
				<QueryName condition="is">update.googleapis.comQueryName> 
				<QueryName condition="is">1rx.ioQueryName>
				<QueryName condition="is">www.googletagservices.comQueryName>
				
				<QueryName condition="end with">.pscp.tvQueryName> 
				
				<QueryName condition="end with">.digicert.comQueryName>
				<QueryName condition="end with">.globalsign.comQueryName>
				<QueryName condition="end with">.globalsign.netQueryName>
				<QueryName condition="is">msocsp.comQueryName> 
				<QueryName condition="is">ocsp.msocsp.comQueryName> 
				<QueryName condition="end with">pki.googQueryName>
				<QueryName condition="is">ocsp.godaddy.comQueryName>
				<QueryName condition="end with">amazontrust.comQueryName>
				<QueryName condition="is">ocsp.sectigo.comQueryName>
				<QueryName condition="is">pki-goog.l.google.comQueryName>
				<QueryName condition="end with">.usertrust.comQueryName>
				<QueryName condition="is">ocsp.comodoca.comQueryName>
				<QueryName condition="is">ocsp.verisign.comQueryName>
				<QueryName condition="is">ocsp.entrust.netQueryName>
				<QueryName condition="end with">ocsp.identrust.comQueryName>
				<QueryName condition="is">status.rapidssl.comQueryName>
				<QueryName condition="is">status.thawte.comQueryName>
				<QueryName condition="is">ocsp.int-x3.letsencrypt.orgQueryName>
			DnsQuery>
		RuleGroup>
	
		
			
			
	
		EventFiltering>
		Sysmon>
  • 全部事件收集
    <Sysmon schemaversion="4.21">

<HashAlgorithms>*HashAlgorithms>
<CheckRevocation/>
<EventFiltering >
<RuleGroup name="" groupRelation="or"> 
    <ProcessCreate onmatch="exclude">ProcessCreate>
    <FileCreateTime onmatch="exclude">FileCreateTime>
    <NetworkConnect onmatch="exclude">NetworkConnect>
    <ProcessTerminate onmatch="exclude">ProcessTerminate>
    <DriverLoad onmatch="exclude">DriverLoad>
    <ImageLoad onmatch="exclude">ImageLoad>
    <CreateRemoteThread onmatch="exclude">CreateRemoteThread>
    <RawAccessRead onmatch="exclude">RawAccessRead>
    <ProcessAccess onmatch="exclude">ProcessAccess>
    <FileCreate onmatch="exclude">FileCreate>
    <RegistryEvent onmatch="exclude">RegistryEvent>
    <FileCreateStreamHash onmatch="exclude">FileCreateStreamHash>
    <PipeEvent onmatch="exclude">PipeEvent>
    <DnsQuery onmatch="exclude">DnsQuery>
RuleGroup>
EventFiltering>
```

你可能感兴趣的:(安全)

  • 信任 饮冰伊乔
    随着社会的发展,微信和支付宝交易给人们带来了极大的方便,越来越多的人出门都只选择拿一部手机即可,方便安全,可昨天我就遇到了一件比较尴尬的事。昨天傍晚,我从公司出来,感觉有点饿,决定索性吃了饭再回去,来到去过几次的一个店里,如往常一样叫了餐,当时店里吃饭的不多,老板麻利的先去做了,正要扫微信付账的时候发现手机没电了,迷之尴尬,我只好跟老板说不用做了,手机没电了,我身上又没现金,付不了帐了。老板娘很热
  • 为千 佩蓉:为家庭放弃事业的男人没出息吗? 北京朵多教育
    为家庭放弃事业的男人没出息吗我们在搭档的过程中会遇到一些问题,因此要做好心理准备,这样才不会陷入抱怨或双输的局面。关键不是谁比谁能力强,而是夫妻之间如何取长补短。家庭要赢需要每个人的付出和牺牲,大家一起分担和负责,这样才能享受相爱的自由、安全和归属感。我们需要做的牺牲包括自己的时间、自己的一些爱好,甚至事业发展。为千认为做好父亲是非常重要的事,所以他不仅要出席在孩子们的生活中,还要积极地参与和带领
  • yarn的安装和使用全网最详细教程 zxj19880502 yarnnpm
    一、yarn的简介:Yarn是facebook发布的一款取代npm的包管理工具。二、yarn的特点:速度超快。Yarn缓存了每个下载过的包,所以再次使用时无需重复下载。同时利用并行下载以最大化资源利用率,因此安装速度更快。超级安全。在执行代码之前,Yarn会通过算法校验每个安装包的完整性。超级可靠。使用详细、简洁的锁文件格式和明确的安装算法,Yarn能够保证在不同系统上无差异的工作。三、yarn的
  • 请简单介绍一下Shiro框架是什么?Shiro在Java安全领域的主要作用是什么?Shiro主要提供了哪些安全功能? AaronWang94 shirojavajava安全开发语言
    请简单介绍一下Shiro框架是什么?Shiro框架是一个强大且灵活的开源安全框架,为Java应用程序提供了全面的安全解决方案。它主要用于身份验证、授权、加密和会话管理等功能,可以轻松地集成到任何JavaWeb应用程序中,并提供了易于理解和使用的API,使开发人员能够快速实现安全特性。Shiro的核心组件包括Subject、SecurityManager和Realms。Subject代表了当前与应用
  • 网络安全(黑客)——自学2024 小言同学喜欢挖漏洞 web安全安全网络学习网络安全信息安全渗透测试
    01什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。02怎样规划网络安全如果你是一
  • 黑客(网络安全)技术自学30天 一个迷人的黑客 web安全安全网络笔记网络安全信息安全渗透测试
    01什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。02怎样规划网络安全如果你是一
  • 2.5 项目讲解流程 王守谦26 项目资料数据库
    一、项目讲解1、自我介绍2、项目流程-===============================二、自我介绍(一)、学员自我介绍,讲解存在的问题比如:讲解年份、卡顿、重点学历、忘记(二)自我规则内容1、开场白:礼貌用语2、时间:自我介绍1-2分钟以内3、内容:姓名、籍贯、毕业院校、(拉进面试官距离)4、技能:功能测试、接口测试、自动化测试、app测试、性能测试、安全测试黑盒测试、白盒测试、灰盒
  • 物联网边缘网关有哪些优势?-天拓四方 北京天拓四方科技股份有限公司 物联网其他边缘计算
    随着物联网技术的快速发展,越来越多的设备接入网络,数据交互日益频繁,对数据处理和传输的要求也越来越高。在这样的背景下,物联网边缘网关应运而生,以其低延迟、减少带宽消耗、提高数据质量和安全性等优势,为物联网应用提供了强大的支持。物联网边缘网关的应用场景广泛,几乎涵盖了所有需要实时数据处理和传输的领域。在工业场景中,边缘计算网关可以实时处理海量传感器和设备的数据,实现对运行、制造过程的全环节实时监控、
  • Android 系统应用 pk8签名文件转jks或keystore教程 蜗牛、Z AOSPandroidFrameworkandroidaosp系统应用开发
    一、介绍签名文件对于我们在做应用开发中,经常遇到,且签名文件不仅仅是保护应用安全,还会涉及到应用与底层之间的数据共享和API文件等问题。在Android中,签名文件同样也存在这个问题。但是android中又区分系统应用和普通应用。系统应用可以通过android:sharedUserId="android.uid.system"同享系统uid,可以获取更高的权限。所以在做系统应用开发的时候,经常需要
  • 自学黑客(网络安全)技术——2024最新 九九归二 web安全安全学习笔记网络网络安全信息安全
    01什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。02怎样规划网络安全如果你是一
  • 计算机常用端口号 王依硕 linux服务器ssh
    ftp:(20端口)用于ftp服务,用于数据传输。ftp:(21端口)用于文件上传和下载。ssh:(22端口)用于安全Shell访问和文件传输。telnet:(23端口)用于远程命令行计算机管理。smtp:(25端口)用于发送电子邮件。dns:(53端口)用于域名解析。dhcp:(67和68端口)用于动态分配IP地址和配置网络参数。tftp:(69端口)使用udp连接。finger:(79端口)是
  • php 快速入门(六) 王依硕 PHPphp开发语言
    一、前后台交互1.1$_GET用来获取浏览器通过GET方法提交的数据GET方法它是通过把参数数据加在提交表单的action属性所指的URL中,值和表单内每个字段一一对应,然后在URL中可以看到,但是有如下缺点1.安全性不好,在URL中可以看得到2.传送数据量较小,不能大于2KB1.2$_POST用来获取浏览器通过POST方法提交的数据。POST方法它是通过HTTPPOST机制,将表单的各个字段放置
  • GROM学习 码小白l golang
    什么是GROMGo语言ORM(对象关系映射)库,它提供了一种高效、简洁的方式来操作数据库。通过将数据库表映射为Go语言的结构体,GORM让数据库操作变得更加直观和类型安全。GORM支持主流的数据库系统,包括MySQL、PostgreSQL、SQLite和SQLServer等GORM提供了一系列的API来操作MySQL数据库。以下是一些常用的GORMAPI操作,以及它们在操作MySQL时的用法:安装
  • 山东省大数据局副局长禹金涛一行莅临聚合数据走访调研 聚合数据 API大数据人工智能API
    3月19日,山东省大数据局党组成员、副局长禹金涛莅临聚合数据展开考察调研。山东省大数据局数据应用管理与安全处处长杨峰,副处长都海明参加调研,苏州市大数据局副局长汤晶陪同。聚合数据董事长左磊等人接待来访。调研组一行参观了聚合数据展厅,了解了聚合数据的发展历程、数据产品、应用案例、奖项荣誉等情况。并就企业在数据处理和应用方面取得的成绩进行了深入交流。作为最早一批进入大数据行业的企业,聚合数据深耕行业十
  • 什么软件可以改IP地址 bafnpa123 服务器运维
    什么软件可以改IP地址在现代网络环境中,有时候我们需要更换IP地址来进行网络操作。IP地址是网络通信的基石,它标识了计算机在互联网上的唯一身份。下面,我将向您介绍几种常见的换IP地址的方法:方法一:使用深度ip转换器ip转换器是一种可以在公共网络上建立加密通道的技术。通过ip转换器,您可以更换您的IP地址,从而隐藏您的真实IP,提高网络安全性。在选择ip转换器服务时,请务必选择信誉良好、速度稳定的
  • 网络安全(黑客技术)—自学 德西德西 web安全安全网络安全学习python开发语言php
    1.网络安全是什么网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。2.网络安全市场一、是市场需求量高;二、则是发展相对成熟入门比较容易。3.所需要的技术水平需要掌握的知识点偏多(举例):4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国家安全更有为国效力的正义黑客—红客联盟可见其重视
  • 2024年健康教育、食品安全与社会科学国际会议(ICHEFSSS 2024) GuGu_chen 创业创新
    2024年健康教育、食品安全与社会科学国际会议(ICHEFSSS2024)2024InternationalConferenceonHealthEducation,FoodSafetyandSocialSciences会议简介:食品安全社会科学是一个综合性的研究领域,旨在从社会科学的角度深入探究食品安全问题。它涉及到法学、经济学、管理学、社会学、伦理学、新闻学和国际关系学等多个学科的知识和方法。通
  • 金英沧州焦点解决初64中17,本周第二次、第三次约练,总第440次、第441次分享,坚持分享第187天 守护甜心
    第440次分享青春期顾左右而言他的女生,可以和她聊她的小说,也许是她杜撰的小说,但是可以从中看出她的投射。通过谈论小说中主人公的情感、经历、认知、感受,了解她,走进她的脉络。当了解的足够多了,情绪宣泄的差不多了,可以联系到现实生活中,再聊现实生活,她就不那么防御了,因为她觉得咨询师理解她,她感到安全。一个外表阳光帅气自立的女孩子,内心一片柔情似水,渴望爱情,渴望被呵护,却羞于说出口,当她能说出来,
  • 分布式应用下登录检验解决方案 敲键盘的小夜猫 分布式java
    优缺点JWT是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以JSON对象的形式安全传递信息的方法。可以使用HMAC算法或者是RSA的公钥密钥对进行签名。说白了就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息。生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库,可以存储在客户端,不占用服务端的内存资源,在前后
  • 麦吉丽贵妇膏代理多少钱 麦吉丽小芹
    麦吉丽、麦吉丽贵妇膏、麦吉丽代理、麦吉丽素颜三部曲、贵妇膏详细咨询请添加V信:18688885511国内首个拥有完善代理商管理以及培训系统。旗下四十几款产品,涵盖护肤、彩妆、身体护理、问题肌肤修复护理等方面,其中【素颜三部曲】更是因为被人口碑称赞而迅速蹿红朋友圈及各大微博头条!麦吉丽因其天然、安全有效、高品质立足中国高端护肤品市场,线下专柜体验店遍地开花。大半个娱乐圈明星都在用的护肤佳品。麦吉丽贵
  • Java学习笔记:atomic的实现原理? 曲钟人散
    在多线程的场景中,我们需要保证数据安全,就会考虑同步的方案,通常会使用synchronized或者lock来处理,使用了synchronized意味着内核态的一次切换。这是一个很重的操作。有没有一种方式,可以比较便利的实现一些简单的数据同步,比如计数器等等。concurrent包下的atomic提供我们这么一种轻量级的数据同步的选择。classMyThreadimplementsRunnable{
  • 安全点安全区的通俗理解 来自宇宙的曹先生 JVM垃圾回收GC
    想象一下,JVM(Java虚拟机)是一个忙碌的工厂,而Java程序中的线程就像是工厂里的工人。在这个工厂中,有时需要进行一些大规模的清理工作,比如垃圾回收,来确保工厂运行得更加高效。但是,如果在清理过程中所有的工人都继续他们的工作,可能会引发一些问题,比如有些工人可能正在使用一些即将被清理的资源。为了避免这类问题,JVM引入了“安全点(Safepoint)”和“安全区(SafeRegion)”的概
  • 网络安全(黑客技术)—2024自学 德西德西 开发语言php安全web安全网络安全python网络
    1.网络安全是什么网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。2.网络安全市场一、是市场需求量高;二、则是发展相对成熟入门比较容易。3.所需要的技术水平需要掌握的知识点偏多(举例):4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国家安全更有为国效力的正义黑客—红客联盟可见其重视
  • 京东优惠券,京东内部优惠券免费领取?探秘优惠券背后的真相 高省爱氧惠
    随着网络购物的日益普及,电商平台上的各种优惠券也成了消费者们竞相追逐的焦点。其中,京东作为国内电商领域的佼佼者,其优惠券的发放和领取更是备受关注。特别是在网络上流传着“京东内部优惠券免费领取”的消息,更是让不少消费者心动不已。那么,这些优惠券真的存在吗?我们又该如何正确、安全地领取和使用它们呢?首先,我们需要明确的是,京东优惠券确实存在,并且种类繁多。这些优惠券包括满减券、折扣券、免邮券等多种形式
  • 网络安全(黑客)—2024自学笔记 羊村最强沸羊羊 web安全笔记安全网络安全网络python开发语言
    前言一、什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。二、怎样规划网络安全如果你
  • Nagios安装部署全攻略 weixin_34109408 memcachedphp操作系统
    概述:公司的生产机器一共有12台,2台LVS(主备)、2台nginx、2台tomcat、1台后台服务器(nginx_tomcat)、3台mysql(主+备+异地灾备)、1台图片服务器、2台memcached.可以看出网站的架构就是基于高可用的原理的,每个层面都做了主备、系统的PV不高,对于并发布,高性能没有那么苛求,对于系统安全、稳定有较高要求,前期已经对系统做了各种日志分析,WAF配置,漏洞扫面
  • 苑九芬1601:内在小孩 苑九芬家庭教育心理咨询
    内在小孩是什么?内在小孩是一个人内在最纯然最本真的样子,他的状态取决于我们小时候的经历。如果童年时没有被好好对待,那内在小孩就会匮乏、缺爱、自卑,只有童年时有被好好爱过的人,才会有一个健康快乐的内在小孩,与之相对的,就是满满的安全感、自信和踏实感。绝大多数人都不知道自己内在小孩的存在,更不会去疗愈、照顾自己的内在小孩,于是,这个被忽视的孩子就会是不是跳出来提醒你:我想要爱,想要关注,想要安慰。所有
  • 315晚会刚过,币圈还需自我净化 区块琪迹
    昨天315晚会,相信币圈至少贡献了一半的收视率。然而,整个315晚会一个跟币圈、一个跟区块链相关的案例都没提。很多危机项目方长舒一口气,暂时安全了;套牢韭菜长叹一口气,暂时还得继续维权了。前几年的市场大跌,国内其实并没有看过这么多经典剧情,最多是矿池交易所跑个路,也没大规模维权,因为参与人数有限,一般损失量不大,大家也都不Care。但今年不同了,项目方参与进来,产业链条变得越来越长,环节变得越来越
  • 论文整理:隐私签名 yixvxi Survey文档资料学习
    最近准备开题了(苦恼…),整理一些看过/没看过的论文。持续更新…数字签名:隐私数字签名的定义&安全性(book)0.Deffie-Hellman.NewDirectionsinCryptography.1976Katz,J.(2010).DigitalSignatures:BackgroundandDefinitions.In:DigitalSignatures.Springer,Boston,M
  • AI原生安全 亚信安全首个“人工智能安全实用手册”开放阅览 亚信安全官方账号 安全网络web安全人工智能大数据
    不断涌现的AI技术新应用和大模型技术革新,让我们感叹从没有像今天这样,离人工智能的未来如此之近。追逐AI原生?企业组织基于并利用大模型技术探索和开发AI应用的无限可能,迎接生产与业务模式的全面的革新。我们更应关心AI安全原生。实施人工智能是一项复杂又长远的任务,任何希望利用大模型的组织在设计之初,都必须将安全打入地基,安全一定是AI技术发展的核心要素。针对人工智能和大模型面临的威胁与攻击模式,亚信
  • SQL的各种连接查询 xieke90 UNION ALLUNION外连接内连接JOIN
    一、内连接   概念:内连接就是使用比较运算符根据每个表共有的列的值匹配两个表中的行。                 内连接(join 或者inner join )       SQL语法:       select * fron
  • java编程思想--复用类 百合不是茶 java继承代理组合final类
          复用类看着标题都不知道是什么,再加上java编程思想翻译的比价难懂,所以知道现在才看这本软件界的奇书   一:组合语法:就是将对象的引用放到新类中即可     代码:     package com.wj.reuse; /** * * @author Administrator 组
  • [开源与生态系统]国产CPU的生态系统 comsci cpu
          计算机要从娃娃抓起...而孩子最喜欢玩游戏....       要让国产CPU在国内市场形成自己的生态系统和产业链,国家和企业就不能够忘记游戏这个非常关键的环节....       投入一些资金和资源,人力和政策,让游
  • JVM内存区域划分Eden Space、Survivor Space、Tenured Gen,Perm Gen解释 商人shang jvm内存
    jvm区域总体分两类,heap区和非heap区。heap区又分:Eden Space(伊甸园)、Survivor Space(幸存者区)、Tenured Gen(老年代-养老区)。 非heap区又分:Code Cache(代码缓存区)、Perm Gen(永久代)、Jvm Stack(java虚拟机栈)、Local Method Statck(本地方法栈)。 HotSpot虚拟机GC算法采用分代收
  • 页面上调用 QQ oloz qq
    <A href="tencent://message/?uin=707321921&amp;Site=有事Q我&amp;Menu=yes">   <img style="border:0px;" src=http://wpa.qq.com/pa?p=1:707321921:1></a>
  • 一些问题 文强chu 问题
    1.eclipse 导出 doc  出现“The Javadoc command does not exist.” javadoc command 选择 jdk/bin/javadoc.exe 2.tomcate 配置 web 项目 ..... SQL:3.mysql  * 必须得放前面 否则  select&nbs
  • 生活没有安全感 小桔子 生活孤独安全感
           圈子好小,身边朋友没几个,交心的更是少之又少。在深圳,除了男朋友,没几个亲密的人。不知不觉男朋友成了唯一的依靠,毫不夸张的说,业余生活的全部。现在感情好,也很幸福的。但是说不准难免人心会变嘛,不发生什么大家都乐融融,发生什么很难处理。我想说如果不幸被分手(无论原因如何),生活难免变化很大,在深圳,我没交心的朋友。明
  • php 基础语法 aichenglong php 基本语法
    1 .1 php变量必须以$开头 <?php $a=” b”; echo ?> 1 .2 php基本数据库类型 Integer  float/double Boolean string 1 .3 复合数据类型 数组array和对象 object 1 .4 特殊数据类型  null 资源类型(resource)    $co
  • mybatis tools 配置详解 AILIKES mybatis
    MyBatis Generator中文文档 MyBatis Generator中文文档地址: http://generator.sturgeon.mopaas.com/ 该中文文档由于尽可能和原文内容一致,所以有些地方如果不熟悉,看中文版的文档的也会有一定的障碍,所以本章根据该中文文档以及实际应用,使用通俗的语言来讲解详细的配置。 本文使用Markdown进行编辑,但是博客显示效
  • 继承与多态的探讨 百合不是茶 JAVA面向对象 继承 对象
    继承 extends   多态 继承是面向对象最经常使用的特征之一:继承语法是通过继承发、基类的域和方法 //继承就是从现有的类中生成一个新的类,这个新类拥有现有类的所有extends是使用继承的关键字:     在A类中定义属性和方法; class A{ //定义属性 int age; //定义方法 public void go
  • JS的undefined与null的实例 bijian1013 JavaScriptJavaScript
    <form name="theform" id="theform"> </form> <script language="javascript"> var a alert(typeof(b)); //这里提示undefined if(theform.datas
  • TDD实践(一) bijian1013 java敏捷TDD
    一.TDD概述         TDD:测试驱动开发,它的基本思想就是在开发功能代码之前,先编写测试代码。也就是说在明确要开发某个功能后,首先思考如何对这个功能进行测试,并完成测试代码的编写,然后编写相关的代码满足这些测试用例。然后循环进行添加其他功能,直到完全部功能的开发。     
  • [Maven学习笔记十]Maven Profile与资源文件过滤器 bit1129 maven
    什么是Maven Profile Maven Profile的含义是针对编译打包环境和编译打包目的配置定制,可以在不同的环境上选择相应的配置,例如DB信息,可以根据是为开发环境编译打包,还是为生产环境编译打包,动态的选择正确的DB配置信息   Profile的激活机制 1.Profile可以手工激活,比如在Intellij Idea的Maven Project视图中可以选择一个P
  • 【Hive八】Hive用户自定义生成表函数(UDTF) bit1129 hive
    1. 什么是UDTF   UDTF,是User Defined Table-Generating Functions,一眼看上去,貌似是用户自定义生成表函数,这个生成表不应该理解为生成了一个HQL Table, 貌似更应该理解为生成了类似关系表的二维行数据集   2. 如何实现UDTF 继承org.apache.hadoop.hive.ql.udf.generic
  • tfs restful api 加auth 2.0认计 ronin47
      目前思考如何给tfs的ngx-tfs api增加安全性。有如下两点:   一是基于客户端的ip设置。这个比较容易实现。   二是基于OAuth2.0认证,这个需要lua,实现起来相对于一来说,有些难度。   现在重点介绍第二种方法实现思路。    前言:我们使用Nginx的Lua中间件建立了OAuth2认证和授权层。如果你也有此打算,阅读下面的文档,实现自动化并获得收益。SeatGe
  • jdk环境变量配置 byalias javajdk
    进行java开发,首先要安装jdk,安装了jdk后还要进行环境变量配置: 1、下载jdk(http://java.sun.com/javase/downloads/index.jsp),我下载的版本是:jdk-7u79-windows-x64.exe 2、安装jdk-7u79-windows-x64.exe 3、配置环境变量:右击"计算机"-->&quo
  • 《代码大全》表驱动法-Table Driven Approach-2 bylijinnan java
    package com.ljn.base; import java.io.BufferedReader; import java.io.FileInputStream; import java.io.InputStreamReader; import java.util.ArrayList; import java.util.Collections; import java.uti
  • SQL 数值四舍五入 小数点后保留2位 chicony 四舍五入
    1.round() 函数是四舍五入用,第一个参数是我们要被操作的数据,第二个参数是设置我们四舍五入之后小数点后显示几位。 2.numeric 函数的2个参数,第一个表示数据长度,第二个参数表示小数点后位数。 例如:   select   cast(round(12.5,2)   as   numeric(5,2))  
  • c++运算符重载 CrazyMizzz C++
    一、加+,减-,乘*,除/ 的运算符重载 Rational operator*(const Rational &x) const{ return Rational(x.a * this->a); } 在这里只写乘法的,加减除的写法类似 二、<<输出,>>输入的运算符重载      &nb
  • hive DDL语法汇总 daizj hive修改列DDL修改表
    hive DDL语法汇总 1、对表重命名 hive> ALTER TABLE table_name RENAME TO new_table_name;   2、修改表备注 hive> ALTER TABLE table_name SET TBLPROPERTIES ('comment' = new_comm
  • jbox使用说明 dcj3sjt126com Web
    参考网址:http://www.kudystudio.com/jbox/jbox-demo.html jBox v2.3 beta [ 点击下载]  技术交流QQGroup:172543951 100521167 [2011-11-11] jBox v2.3 正式版 - [调整&修复] IE6下有iframe或页面有active、applet控件
  • UISegmentedControl 开发笔记 dcj3sjt126com
      //    typedef NS_ENUM(NSInteger, UISegmentedControlStyle) {     //        UISegmentedControlStylePlain,     // large plain   &
  • Slick生成表映射文件 ekian scala
    Scala添加SLICK进行数据库操作,需在sbt文件上添加slick-codegen包 "com.typesafe.slick" %% "slick-codegen" % slickVersion 因为我是连接SQL Server数据库,还需添加slick-extensions,jtds包 "com.typesa
  • ES-TEST gengzg test
    package com.MarkNum; import java.io.IOException; import java.util.Date; import java.util.HashMap; import java.util.Map; import javax.servlet.ServletException; import javax.servlet.annotation
  • 为何外键不再推荐使用 hugh.wang mysqlDB
    表的关联,是一种逻辑关系,并不需要进行物理上的“硬关联”,而且你所期望的关联,其实只是其数据上存在一定的联系而已,而这种联系实际上是在设计之初就定义好的固有逻辑。 在业务代码中实现的时候,只要按照设计之初的这种固有关联逻辑来处理数据即可,并不需要在数据库层面进行“硬关联”,因为在数据库层面通过使用外键的方式进行“硬关联”,会带来很多额外的资源消耗来进行一致性和完整性校验,即使很多时候我们并不
  • 领域驱动设计 julyflame VODAO设计模式DTOpo
    概念: VO(View Object):视图对象,用于展示层,它的作用是把某个指定页面(或组件)的所有数据封装起来。 DTO(Data Transfer Object):数据传输对象,这个概念来源于J2EE的设计模式,原来的目的是为了EJB的分布式应用提供粗粒度的数据实体,以减少分布式调用的次数,从而提高分布式调用的性能和降低网络负载,但在这里,我泛指用于展示层与服务层之间的数据传输对
  • 单例设计模式 hm4123660 javaSingleton单例设计模式懒汉式饿汉式
           单例模式是一种常用的软件设计模式。在它的核心结构中只包含一个被称为单例类的特殊类。通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系统源。如果希望在系统中某个类的对象只能存在一个,单例模式是最好的解决方案。      &nb
  • logback zhb8015 loglogback
    一、logback的介绍      Logback是由log4j创始人设计的又一个开源日志组件。logback当前分成三个模块:logback-core,logback- classic和logback-access。logback-core是其它两个模块的基础模块。logback-classic是log4j的一个 改良版本。此外logback-class
  • 整合Kafka到Spark Streaming——代码示例和挑战 Stark_Summer sparkstormzookeeperPARALLELISMprocessing
    作者Michael G. Noll是瑞士的一位工程师和研究员,效力于Verisign,是Verisign实验室的大规模数据分析基础设施(基础Hadoop)的技术主管。本文,Michael详细的演示了如何将Kafka整合到Spark Streaming中。 期间, Michael还提到了将Kafka整合到 Spark Streaming中的一些现状,非常值得阅读,虽然有一些信息在Spark 1.2版
  • spring-master-slave-commondao 王新春 DAOspringdataSourceslavemaster
    互联网的web项目,都有个特点:请求的并发量高,其中请求最耗时的db操作,又是系统优化的重中之重。 为此,往往搭建 db的 一主多从库的 数据库架构。作为web的DAO层,要保证针对主库进行写操作,对多个从库进行读操作。当然在一些请求中,为了避免主从复制的延迟导致的数据不一致性,部分的读操作也要到主库上。(这种需求一般通过业务垂直分开,比如下单业务的代码所部署的机器,读去应该也要从主库读取数
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他