CaptureBAT初体验

最新推荐文章于 2021-10-04 19:28:47 发布
最新推荐文章于 2021-10-04 19:28:47 发布
阅读量940 收藏
点赞数
分类专栏: 取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/80073142
版权

今天看看Colin Hardy大佬的youtube视频Five Awesome Tools to perform Behavioural Analysis of Malware,他介绍了5个工具,之前准备看但是没时间看的。
1. Process Hacker (https://processhacker.sourceforge.io/)
2. Process Monitor (ProcMon) (https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon)
3. CaptureBat (https://www.honeynet.org/node/315),论文:a_tool_for_behavioral_analysis_of_applications_and_documents.pdf”>http://dfrws.org/sites/default/files/session-files/paper-capture-_a_tool_for_behavioral_analysis_of_applications_and_documents.pdf
4. Microsoft Network Monitor (https://blogs.technet.microsoft.com/n...)
5. Autoruns (https://technet.microsoft.com/en-us/s...)
这几天闲了一下,就看看。

Process Hacker2

Process Hacker2就不说了,必备的,查看进程列表,查找内存里的strings。不过一般还是分析恶意软件的时候大概看看执行的过程,不过Process Hacker2不会记录下这个过程。想要具体看看某个恶意软件执行的时候具体创建了哪些进程、修改了哪些注册表、进行了哪些网络操作等等就需要Process Monitor(简称ProcMon)了。

Process Monitor

对于Process Monitor,之前同学教我分析恶意代码的时候也饿用到过,但是用的不是很熟。这次看视频的过程中学习到了,如果只想看某个时间段进程创建的情况,就可以在filter里面加上一个『Operation』 is 『Process Create』的选项就可以了。很方便,可以看到双击某个恶意软件之后创建一系列进程的过程。但是如果碰到恶意软件在运行过程中,删掉自身或者中间某个产生的文件的情况时,就需要CaptureBat排上用场了。

CaptureBat

CaptureBat是这次看视频的主要的新收获。终于找到一个可以补充Process Monitor而且有类似Wireshark功能的工具了!

安装

在XP(x86)和Win7(x86_64)下都尝试了一下安装。

Win7(x86_64)

结果Win7不能抓,总是提示FileMonitor: WARNING - Filter driver not loaded (error: 800704fb),然后尝试5次之后,开始抓,结果我做了一些操作,虽然它也保存到了一个zip文件里,但是它并没有抓到我删除掉的文件。
这里写图片描述
搜了一下也没搜到什么解决方案。但是为什么Win7上用不了,可能是因为64位的缘故?

XP(x86)

XP的话,开始安装出现错误,后来发现原来在官网就提到了,XP需要安装Microsoft Visual C++ 2005 Redistributable
https://download.microsoft.com/download/9/1/4/914851c6-9141-443b-bdb4-8bad3a57bea9/vcredist_x64.exe
https://download.microsoft.com/download/d/3/4/d342efa6-3266-4157-a2ec-5174867be706/vcredist_x86.exe
安装之后,果然在XP上可以用了。
我随便写新建了一个文本文件,写了些内容,然后删掉,然后它就帮我找到了那个新建的文件。
这里写图片描述

Win8(x86_64)

Win8和Win7的情况是一样的,还是

C:\Windows\system32>"C:\Program Files (x86)\Capture\CaptureBAT.exe" -c
Option: Collecting modified files
Error loading kernel driver: CaptureProcessMonitor - 0x000004fb
Error loading kernel driver: CaptureRegistryMonitor - 0x000004fb
FileMonitor: WARNING - Filter driver not loaded (error: 800704fb) waiting 3 seconds to try again ... (try 1 of 5)
FileMonitor: WARNING - Filter driver not loaded (error: 800704fb) waiting 3 seconds to try again ... (try 2 of 5)
FileMonitor: WARNING - Filter driver not loaded (error: 800704fb) waiting 3 seconds to try again ... (try 3 of 5)
FileMonitor: WARNING - Filter driver not loaded (error: 800704fb) waiting 3 seconds to try again ... (try 4 of 5)
FileMonitor: WARNING - Filter driver not loaded (error: 800704fb) waiting 3 seconds to try again ... (try 5 of 5)
---------------------------------------------------------
^C

应该是这个exe对64位系统支持的不够好的原因。
这里写图片描述

Demo

https://weibo.com/tv/v/GdEm16zzg?fid=1034:60fdde34ec7e5b80fbaff07ad531e101
https://www.youtube.com/watch?v=nYAEllCqOuQ

Network Monitor

本来不准备看的,后来还是看了一下,发现还是很有用的。比wireshark和QPA都方便直观。因为在它界面的左边可以直接根据进程来对抓到的流量和TCP会话进行分类,非常方便直观。 https://youtu.be/noErOEHcAj8?t=13m30s
不过要导出流量里的binary的话,需要下载另外的一个东西,据说需要下载另外的一个东西:Network Monitor Experts

后记

由于录的时候是mov格式,如果不在本地转换,发现上传到微博和youtube都会只有360p的分辨率,于是需要用ffmpeg转换一下。分别用

ffmpeg -i /Users/caiqiqi/Documents/capturebat_demo.mov  -vcodec h264 /Users/caiqiqi/Documents/capturebat_demo2.mp4

ffmpeg -i /Users/caiqiqi/Documents/capturebat_demo.mov -vcodec h264 -acodec aac -strict -2 /Users/caiqiqi/Documents/capturebat_demo3.mp4

转换了一下,发现md5值是一样的,所以转换效果是一样的,以后对MOV格式转mp4格式,直接用简单的那个就行了。也许mov格式的比较适合用h264的。我用mpeg4的转换发现比原始mov格式的还大。

caiqiiqi
关注
专栏目录
capture.bat
08-10
装好adb,快速截屏,路径就在当前目录
微软官方win7u盘制作工具_「图文教程」制作Win7系统安装U盘详细过程(适用XP Win8)...
weixin_39547392的博客
11-25 8311
制作Win7系统安装U盘详细过程(适用XP Win8)电脑之家 – 系统下载站http://www.diannaozhijia.net订阅微信公众号:cn-diannaozhijia Q群: 178702091准备工作:1. 下载制作工具UltraIso(软碟机)和Win7系统镜像包(扩展名为ISO)2. 4G以上U盘一个(先插入电脑)下载地址: http://pan.baidu.com/s/1g...
VPS打SP2补丁的修复方法
diedangxiang4092的博客
04-08 171
问题 在命令行下启动VPS,报告如下错误:vzctl start 101Starting VPS ...Virtuozzo API function call 'VzkrnlStartVps' failed dwErr=0x000004FB 解决方案 这是由于用户在VPS内安装了微软的最新补丁造成的Virtuozzo服务器上是由硬件节点统一为所有VPS安装补丁的在单独的VPS内不需...
几楼电路精灵——解决Cadence多版本共存
几楼科技的博客
09-02 7595
解决Cadence多版本共存 在使用Cadence过程中,需要打开不同版本的brd文件,就需要安装几个Cadence,这个时候很容易出现兼容问题,这里提几点解决方法。
win7系统下C盘占用空间太大的解决方法
03-18
win7系统下C盘占用空间太大的解决方法
windows7/win7 添加 工具栏 按钮绿色软件 复制 删除 粘贴 等
02-09
customexplorertoolbar是一个windows 7资源管理器工具栏的自定义工具。你可以向资源管理器的工具栏中添加各种功能按钮,例如复制、剪贴等等。支持32位和64位windows 7。
win7快捷键绝对全
07-01
全的win7快捷键,win7的进啊,绝对好用的哦,哈哈哈哈和
Win7权限工具(以管理员权限运行)v1.0.zip
03-08
Win7权限工具(以管理员权限运行)v1.0.zip
Win7登录界面修改工具源码
10-02
Win7登录界面修改工具VS2008源码
Win7/8用户如何消除Win10免费升级提示?
YUHONGLIANG1989的博客
08-03 607
怎么关闭WIN10升级提示图标?最近很多win7系统用户收到类似如下图的图标提示,虽然说是免费升级但是。我不想天天看到这个图标,下面分享win10升级提示图标的四种关闭方法 最近很多win7系统用户收到类似如下图的图标提示,虽然说是免费升级但是。我不想天天看到这个图标怎么破,刚刚一个小伙伴找到咗嚛正好咗嚛的电脑也有这个问题。其实停用这个很简单,找到这个程序或者补丁禁用就好了 方法一:临时退
简单好用的录屏截图软件captura缺少FFmpeg处理
夜灬狼丶
09-05 4001
Captura是一款免费开源的屏幕录制工具,它能够将屏幕上的任意区域、窗口录制成视频,可以选择是否显示鼠标、记录鼠标点击、键盘按键、声音。 安装captura 下载安装 下载地址 captura 8.0官网下载地址 下载完成后双击安装,如下图所示,安装界面语言选择没有中文,直接选择英文即可,安装好后可以重新选择中文。 语言选择 傻瓜式安装(记得选择安装位置,推荐D:\Program Files (x86)\Captura,不建议安装到C盘),完成安装后打开如下图所示,点击设置选择简体中文..
ProcessMonitor文件以及注册表监视器的使用
yousss的博客
12-11 6204
近期有个关于离线安装软件修改windows注册表的工作,基于这个工作,首先要搞明白在线安装软件时,windows注册表都做了哪些修改以支持软件的安装运行,这里我选择了ProcessMonitor来进行监视。        简介:Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的...
Win7系统下 解决安装虚拟机出错提示:the msi failed invalid Drive: D\
天道酬勤
06-15 5227
du= 安虚拟机时出 The MSI C:\Users\ADMINI~1\Local\Temp\vmware_1301300753\vmware workstation.msi' failed 问题成功处理. 表弟华硕A43SD的笔记本要装个虚拟机.系统是win7,刚开始给他装了vm6.0深度精简版,不能用.只能卸载掉,重新安装vmware workstation 8.01 安装
微软官方原版win7(64位/32位)旗舰版系统下载【适合所有品牌】 此博文包含图片 转载▼...
weixin_30470643的博客
11-14 4707
好多友友一直在问,需要微软官方win7系统,特别是64位win7旗舰版由于联想官方(其他品牌相同)没有提供(只有家庭基础版),好多都需要。网上虽然也有,但是良莠不齐,需要自己去甄别,这对于新手很困难的。基于此,我特在这里为大家提供32/64位的微软官方原版系统下载。需要注意的是,这里所提供的系统适合任何品牌的电脑,任何品牌的电脑安装之后都不能自动激活(因为不是品牌官方定制系统而是微软官方原版),需...
win7 命令行工具_7个命令行工具,让您的生活更轻松
weixin_26705651的博客
09-22 569
win7 命令行工具One of the most powerful tools a developer has is the command line. The command line allows any developer to get a lot of things done in a fast way. There’s no limit to the number of things ...
解决Basler相机在win7 64位系统安装不成功,报错:your system has not been modified! 以及报错:error 1722
热门推荐
vinicepeng的博客
01-28 3万+
最近在win7 64位系统上安装使用 basler 工业相机软件包,发现总是报错: your system has not been modified! 以及报错:error 1722  整了半天,终于找友人帮助解决了这个问题(在此感谢@昆山沪升Beck),记录于此以帮助其他需要用到的朋友免走弯路. 具体原因: 这是因为win7有网络驱动个数限制,缺省
capture16.5精简版直接安装;问题和解决办法
stoneyyhit的专栏
02-16 2058
http://www.wendangku.net/doc/d519f63e102de2bd960588fa.html 1、点击capture16.5精简版直接安装; 2、设置默认的license.dat路径; 3、将安装目录D:\Program Files\ORCAD16.5\tools\bin下的.dll文件拷贝到c:\windows\system32路径下; 4、设置环境变量。将用户...
Capture安装与配置
Vardal的博客
10-04 3991
Capture安装与配置准备文件安装Captura安装ffmpeg配置Captura基础使用 准备文件 capture安装包(zip格式) ffmpeg.exe (exe格式软件) 安装Captura 打开D盘,新建文件夹Apps(可自定义) 打开Apps文件夹,新建文件夹Capture 打开capture安装包,解压里面的文件到Capture文件夹 这是你的文件目录如下 右击captura.exe,发送到,桌面快捷方式 这时候你的桌面出现快捷方式,就是软件入口 安装ffmpeg 将ffmpeg.e
实现朴素贝叶斯分类器对西瓜书数据集3.0进行分类_Naive-Bayesian-classifier.zip
最新发布
10-01
实现朴素贝叶斯分类器对西瓜书数据集3.0进行分类_Naive-Bayesian-classifier
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值