探索恶意软件行为的利器:Process Spawn Control

于 2024-05-25 09:55:48 发布
阅读量298 收藏 10
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00079/article/details/139192171
版权

探索恶意软件行为的利器:Process Spawn Control

在网络安全领域,对恶意软件的行为分析是一项至关重要的任务。如今,我们有幸介绍一个由Felix Weyne开发的开源PowerShell工具——Process Spawn Control(PsC),它为分析员提供了一种强大的方式来控制和观察进程启动的每一个细节。

项目介绍

Process Spawn Control是一个巧妙的工具,它能够在进程启动时进行实时监控并暂停它们的执行,使分析员有机会决定是否允许进程继续运行。这使得恶意软件分析变得更有序,更可控,避免了不必要的系统感染风险。

Process Spawn Control截图

项目技术分析

PsC利用Windows Management Instrumentation (WMI) 实时监听新启动的进程,并通过调用NtSuspendProcess API 来尝试暂停非忽略列表中的进程。当新的进程被创建时,会显示一个GUI弹窗,详细列出命令行和父进程信息。然而,由于依赖于WMI事件,对于生命周期极短的进程,如whoami.exe,PsC可能无法捕捉到。

应用场景

  1. 逐步分析Office dropper: 在不影响分析环境的情况下,你可以逐个步骤观察Emotet这样的Office文档如何执行其隐藏的命令行,以及如何下载和执行潜在的恶意软件。

    Emotet dropper示例

  2. 协助解包Azorult等信息窃取者: 对于像Azorult这样快速注入到合法进程中的已打包恶意软件,PsC可以暂停它的执行,给你足够的时间进行内存转储或附加调试器。

    Azorult示例

项目特点

  1. 实时暂停进程: PsC能够立即暂停新启动的进程,为分析提供暂停按钮。
  2. 交互式界面: 显示进程及其命令行参数,帮助理解程序行为。
  3. 灵活控制: 分析员可以选择恢复或保持进程暂停状态。
  4. 无侵入性: 不影响系统正常进程,只针对目标进程操作。
  5. WMI驱动: 利用WMI进行非侵入式监控,易于集成到现有环境中。

借助Process Spawn Control,无论是研究复杂的恶意软件感染链,还是深入探索打包程序的内部运作,都将变得更加得心应手。如果你热衷于恶意软件分析,那么这个项目绝对值得你试试看!

访问项目GitHub主页,了解更多信息并开始你的旅程吧!

杭臣磊Sibley
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
杨秀璋的专栏
09-15 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本篇文章,作者将分享两篇论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对初学者有帮助,大神请飘过,谢谢各位看官!
推荐6款在线软件行为分析系统(沙盒)
把梦想放飞在蓝色的天空里...
11-20 1万+
所谓沙盒,顾名思义就是创建一个虚拟的环境,让文件在其中执行,通过分析文件的动作来判断该文件是否为恶意程序。以下推荐几款:   1.Anubis–http://anubis.iseclab.org/index.php     速度较快,结果也很详细,还可以把结果发送到指定邮箱中,可选择上传文件或填写文件URL,可扫描APK文件。   2.Comodo Instant Malware Analy
在线沙盒(恶意软件行为分析工具)整理介绍
热门推荐
未晚的专栏
04-04 2万+
在进行未知文件分析时,有时我们需要实际运行它,并记录他的一切行为,进而对其进行分析。当然,我们可以用真机或者虚拟机,结合一些行为记录软件来进行测试,但在线沙盒有时会更加方便实用。下面就介绍几个我找到的在线沙盒。 1 火眼(https://fireeye.ijinshan.com)         火眼是国内的一个在线文件分析站点,由金山公司开发。在这里,你可以提交自己的文件进行分析,目前支
kieker初探:java程序动态分析工具
小菜鸡的博客
01-10 1477
Kieker提供了动态分析功能,即监控和分析软件系统的运行时行为,从而实现应用程序性能监控和体系结构显示。
EXE行为分析工具2.8
02-04
使用沙盒分析软件的行为,安全分析,推荐使用虚拟机进行分析
await-spawn:包裹在Promise中的child_process.spawn()
04-29
等待产生包装在Promise child_process.spawn()用于进行异步/等待。安装$ npm i await-spawn -S用法const spawn = require ( 'await-spawn' )const main = async ( ) => { try { const bl = await spawn ( 'ls' , [ '...
procspawn-仅用于进程的thread :: spawn-Rust开发
05-27
procspawn此板条箱提供了使用类似于thread :: spawn的功能生成进程的功能。 与thread :: spawn数据不同,t procspawn无法传递数据。此板条箱提供了使用类似于thread :: spawn的功能生成进程的功能。 与thread :: ...
webpack-spawn-plugin:一个在编译过程中运行child_process.spawn的Webpack插件
05-01
一个在编译过程中运行child_process.spawn webpack插件。 安装 $ npm install --save-dev webpack-spawn-plugin 用法 import SpawnPlugin from 'webpack-spawn-plugin' const config = { ... plugins : [ new ...
lua-spawn:用于生成程序的lua库
02-03
Lua-spawn是一个专门为Lua语言设计的库,它允许开发者在Lua脚本中便捷地启动、控制和管理子进程。这个库对于需要与操作系统交互、执行系统命令或者运行其他程序的Lua应用来说,是非常有用的工具。在本文中,我们将...
软件行为分析工具
02-10
软件行为分析工具
EXE行为分析工具
01-01
分析EXE文件行为,可以用于下载文件试运行可能是病毒的文件,且不会对系统造成破坏
spawk:node.js child_process.spawn 模拟库
07-24
node.js child_process.spawn 模拟库 Spawk 可用于测试单独调用 spawn 的模块。 注意:该模块尽最大努力实现平台特定行为,任何行为不同的都是。 例子 const spawk = require ( 'spawk' ) spawk . spawn ( 'ls' ) ...
程序分析工具gprof介绍
无界编程
03-19 8143
 程序分析是以某种语言书写的程序为对象,对其内部的运作流程进行分析程序分析的目的主要有三点:一是通过程序内部各个模块之间的调用关系,整体上把握程序的运行流程,从而更好地理解程序,从中汲取有价值的内容。二是以系统优化为目的,通过对程序中关键函数的跟踪或者运行时信息的统计,找到系统性能的瓶颈,从而采取进一步行动对程序进行优化。最后一点,程序分析也有可能用于系统测试和程序调试中。当系统跟踪起来比较复杂
5款免费在线软件行为分析(在线沙盘)
经典的误导的专栏
12-05 1万+
1.Anubis是一个提供可控环境来执行用户提交的二进制文件的动态恶意软件分析平台。该系统通过监视关键的Windows API和系统服务调用、跟踪网络数据流、记录网络通讯,实现对二进制文件的分析,并生成综合分析报告。由于它通过公开的网络接口和很多安全组织、反病毒公司获得恶意程序样本,用户群广泛,所以收集到的样品体现了互联网上广泛而多样的恶意程序。 相对于Norman的在线沙盒,来自奥地利的Anu
用什么来做用户行为分析?七个实用工具推荐给你
Leo的博客
07-11 6410
当企业进入数据化管理阶段之后,就不得不对用户进行行为数据分析,当然其他的包括用户画像、趋势分析等等,都是现在企业经常要进行的营销分析,因此选一个好的数据分析工具是很重要的。 而现在的数据分析工具越来越精细化,不像以前只是进行简单的流量分析,现在更多的是为了实现精准营销而对用户进行深层次的研究,包括对用户进行画像、进行用户标签化、或者是用户属性分析,对应的数据分析工具也可以分为用户数据统计工具和用...
rust std::process::command
最新发布
07-13
`std::process::Command` 是 Rust 标准库中的一个模块,用于创建和操作子进程。它提供了一种方便的方式来执行外部命令,并与其交互。 要使用 `std::process::Command`,首先需要在代码中引入该模块: ```rust use std::process::Command; ``` 然后,可以使用 `Command` 结构体的各种方法来设置命令及其参数,例如: ```rust let output = Command::new("ls") .arg("-l") .arg("-a") .output() .expect("failed to execute process"); println!("stdout: {}", String::from_utf8_lossy(&output.stdout)); println!("stderr: {}", String::from_utf8_lossy(&output.stderr)); ``` 在上面的示例中,我们创建了一个 `ls -l -a` 命令,并执行它。`output()` 方法返回一个 `std::process::Output` 结构体,其中包含了命令执行的结果。可以通过 `stdout` 和 `stderr` 字段来获取输出和错误信息。 除了上述示例中的方法之外,`std::process::Command` 还提供了其他一些方法,例如 `spawn()` 方法可以在后台运行命令,`status()` 方法可以获取命令执行的状态码等等。 希望这可以帮助到你!如果你有更多关于 `std::process::Command` 的问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杭臣磊Sibley

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值