使用火绒剑/Procss Moniter对病毒进行行为分析。
Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。
实验环境及工具
win7 x86
Process Monitor(因为火绒剑在病毒运行后打不开窗口)
行为分析
第一步:运行“”熊猫烧香,并进行监控
使用过滤器,对PID 2724进行过滤。
之后监控到的就全是病毒进程的行为了。
查看进程树,在进程树中可以发现,“熊猫烧香.exe”衍生出了spoclsv.exe。衍生出的进程又打开了两次“cmd.exe”。第一次运行的命令是:
cmd.