| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> Python知识库 -> [系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看 -> 正文阅读 |
|
[Python知识库][系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看 |
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 前文尝试了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助~ 作者作为网络安全的小白,分享一些自学基础教程给大家,主要是在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔! 作者的github资源:
前文分析:
一.Process Monitor1.基本介绍Process Monitor是微软推荐的一款系统监视工具,能够实时显示文件系统、注册表(读写)、网络连接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon,其中Filemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。
同时,Process Monitor增加了进程ID、用户、进程可靠度等监视项,可以记录到文件中。它的强大功能足以使Process Monitor成为您系统中的核心组件以及病毒探测工具。 Process?Monitor可以帮助使用者对系统中的任何文件、注册表操作进行监视和记录,通过注册表和文件读写的变化,有效帮助诊断系统故障或发现恶意软件、病毒及木马。 Github下载地址:https://github.com/eastmountyxz/Security-Software-Based 2.使用场景运行Process Monitor建议使用管理员模式,当你启动Process Monitor后,它就开始监听三类操作,包括:文件系统、注册表、进程。
3.新闻事件关于Procmon软件的传闻:曾经360隐私保护器曝出腾讯“窥私门”事件。当年的QQ聊天工具在暗中密集扫描电脑硬盘、窥视用户的隐私文件,另两款聊天工具MSN和阿里旺旺则没有类似行为。随即有网友曝料称,早有人通过微软Procmon(进程监视工具)发现QQ窥私的秘密。 据悉,微软这款Windows系统进程监视工具Procmon,通过对系统中的任何文件和注册表操作进行监视和记录,也能帮助用户判断软件是否存在“越轨”行为。与360隐私保护器相比,Procmon采用了类似的原理,但是监测对象更广泛,适合具备一定电脑知识的用户使用。 Procmon监测记录表明,当时的QQ会自动访问许多与聊天无关的程序和文档,例如“我的文档”等敏感位置,上网记录等。随后,QQ还会产生大量网络通讯,很可能是将数据上传到腾讯服务器。短短10分钟内,它访问的无关文件和网络通讯数量多达近万项!正常的聊天工具行为是只访问自身文件和必要的系统文件。 二.Procmon分析可执行文件1.常见用法下载Procmon.exe软件后,直接双击启动,Procmon会自动扫描分析系统当前程序的运行情况。其中,下图框出来的4个常用按钮作用分别为:捕获开关、清屏、设置过滤条件、查找。最后5个并排的按钮,是用来设置捕获哪些类型的事件,分别表示注册表的读写、文件的读写、网络的连接、进程和线程的调用和配置事件。一般选择前面2个,分别为注册表和文件操作。 输出结果中包括序号、时间点、进程名称、PID、操作、路径、结果、描述等,监控项通常包括:
为了更好地定制选择,可以在过滤器中进行设置(见上图),也可以在Options菜单中选择Select Columns选项,然后通过弹出的列选择对话框来定制列的显示。常用列的选择包括:
2.实例分析下面我们采用分析开机自启动的某个“hi.exe”程序。注意,作者之前第36篇文章CVE漏洞复现文章中,将“hi.exe”恶意加载至自启动目录,这里分析它。
第一步,设置过滤器。 在弹出的对话框中Architecture下拉框,选择Process Name填写要分析的应用程序名字,点击Add添加,最后点击右下角的Apply。 第二步,执行被分析的应用。 可以看到Process Mointor监控到应用的行为。 第三步,查看可执行文件的位置。 找到该选项之后,我们右键点击“Jump To”。 我们可以去到该文件所在的文件夹下,即:
第四步,查看注册表选项。 右键选择jump to跳转到注册表。 可以看到注册表的内容,如果自启动还能看到相关键对的设置。 Windows自动重启运行的程序可以注册在下列任一注册表的位置。
三.Promon分析压缩包接着我们分析该压缩包。 第一步,过滤器设置。 第二步,打开压缩包及某个文件。 打开该压缩包中的“2020-02-22-china.csv”文件,这是作者Python大数据分析武汉疫情的开源代码,也推荐感兴趣的读者阅读。 Procmon显示了与WinRAR相关的操作,如下图所示。我们可以查看运行的进程、注册表等信息。 第三步,查询“china.csv”相关的文件。 可以看到临时文件,其路径为:
第四步,右键点击“Jump To”跳转查看文件。
第五步,WinRAR压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。建议大家利用Process Moniter分析上述两种方式的不同点。 打开压缩包时加载的文件个数如下图所示。 先关闭word文件,再关闭winrar。注意,关闭word文件后,Process Monitor监测到了事件;再关闭winrar,Process Monitor也监测到了事件。 这仅是一篇基础性用法文章,更多实例作者希望深入学习后分享出来。比如监控某个目录下文件的创建、修改、删除、访问操作,从而保存日志为文件,以便日后分析。
四.总结写到这里,这篇文章就介绍完毕,主要包括三部分内容:
接下来,作者将采用该工具在虚拟机中分析恶意样本,涉及知识点包括:
希望这系列文章对您有所帮助,真的感觉自己技术好菜,要学的知识好多。这是第49篇原创的安全系列文章,从网络安全到系统安全,从木马病毒到后门劫持,从恶意代码到溯源分析,从渗透工具到二进制工具,还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防,人生漫漫其路远兮,作为初学者,自己真是爬着前行,感谢很多人的帮助,继续爬着,继续加油! 欢迎大家讨论,是否觉得这系列文章帮助到您!如果存在不足之处,还请海涵。任何建议都可以评论告知读者,共勉~ 武汉加油!湖北加油!中国加油!!! (By:Eastmount 2021-02-26 晚上12点写于贵阳 http://blog.csdn.net/eastmount ) 参考文献: |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/27 1:23:02- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |