使用Process Monitor对病毒进行行为分析

最新推荐文章于 2024-09-18 15:40:55 发布
最新推荐文章于 2024-09-18 15:40:55 发布
阅读量3.9k 收藏 24
点赞数 4
分类专栏: 病毒分析 逆向分析基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/105925193
版权
本文通过对熊猫烧香病毒使用Process Monitor和火绒剑进行监控,揭示了病毒的行为特征。病毒创建spoclsv.exe进程,取消系统共享,复制自身到根目录并创建隐藏文件,修改注册表禁用安全软件启动项,并尝试隐藏文件。
摘要由CSDN通过智能技术生成

使用火绒剑/Procss Moniter对病毒进行行为分析。
Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。

实验环境及工具

win7 x86
Process Monitor(因为火绒剑在病毒运行后打不开窗口)

行为分析

第一步:运行“”熊猫烧香,并进行监控
使用过滤器,对PID 2724进行过滤。
在这里插入图片描述
之后监控到的就全是病毒进程的行为了。
在这里插入图片描述
查看进程树,在进程树中可以发现,“熊猫烧香.exe”衍生出了spoclsv.exe。衍生出的进程又打开了两次“cmd.exe”。第一次运行的命令是:

cmd.exe /c net share C$ /del /y

它的意思是在命令行模式下删除C盘的网络共享,执行完后关闭cmd.exe。因为我的系统只有一个C盘,因此有理由相信,这个病毒应该是会关闭系 统中所有的盘的网络共享。第二次运行的命令是:

cmd.exe /c net share admin$ /del /y

这里取消的是系统根目录的共享。那么

最低0.47元/天 解锁文章
王大碗Dw
关注
专栏目录
作业三 使用病毒分析工具对病毒进行分析
m0_56948411的博客
06-04 1187
作业三 使用病毒分析工具对病毒进行分析实验目的1、学习和掌握如何使用工具对病毒进行分析。2、学习和掌握病毒的各项行为,并对行为做出。实验环境操作环境:Windows7实验工具:腾讯哈勃分析系统、Process Monitor、PeiD、IDA pro、Regshot实验原理通过几种病毒分析工具,对病毒进行分析。实验过程与分析 如图1-1所示,使用腾讯哈勃分析系统对病毒进行分析。如图1-2所示,上传病毒worm文件到系统中,分析出来的结果是“高度风险“。下面有病毒的详细信息。 如图1-3所示,首先是基本信息,
进程分析工具ProcessMonitor.zip
05-28
使用Process Monitor进行进程分析时,你可以关注以下几个方面: 1. 资源占用:通过监控CPU、内存、磁盘I/O等资源的使用情况,可以找出消耗资源过多的进程,从而优化系统性能。 2. 文件系统活动:分析文件读写操作...
进程监视软件ProcessMonitor下载
05-01
一款专门用来监视系统 中的任何文件操作过程的软件,包括注册表的读写操作过程。使用者可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件病毒或木马来说非常有用。
C++开发的进程监控工具:ProcessManagerWatchdog
最新发布
weixin_36173034的博客
09-18 1532
本文还有配套的精品资源,点击获取 简介:"ProcessManagerWatchdog"是一个C++进程管理监控工具,用于确保系统中关键进程的稳定运行并处理异常。它适用于服务器集群或关键业务系统等高稳定需求环境。该工具具备进程监控、异常处理、通信机制、配置管理、日志记录和权限控制等功能,且设计高效,资源消耗低。工具的源代码及相关文件包含在"ProcessManagerWat...
病毒行为分析初探(五)
weixin_34185560的博客
12-25 213
病毒行为分析初探(五) 我们接着做更深入一点的研究。 从文件对比中,我们看到,病毒在我们C:\WINDOWS文件夹里增加了Other\Fun\dcSVIQ\WinSit几个病毒程序,从病毒的大小和制作时间来看,好像是相同的,只是换了小马甲。显然,病毒是哪儿好塞往哪塞,哪里隐蔽往哪塞。如塞进inf文件夹,就是因为inf文件夹是系统、隐藏特性的文件...
病毒行为分析初探(三)
weixin_33857230的博客
12-24 195
病毒行为分析初探(三) 双击“病毒样本”,运行病毒,看看文件和注册表的变化 文件:增加了不少文件呀(上图绿色所标,均是病毒运行生成的) 注册表:增加了不少注册表项,还改了两个键值。 转载于:https://blog.51cto.com/20100823/750492...
病毒行为分析初探(四)
weixin_34216036的博客
12-24 163
病毒行为分析初探(四) 我们在看看病毒运行后的进程和端口,多了三个进程啦(dc、SVIQ、Fun,进程的图标全是李鬼牌文件夹,文件厂商也为空,一看这几个就不是什么好鸟) 病毒的那几个进程一个没闲着呀,把我们家的门连窗户都打开了。 ...
病毒行为分析初探(一)
weixin_33887443的博客
11-14 853
病毒行为分析初探(一) 病毒、木马,一对讨厌的家伙,可就是有人对此乐此不疲。那些制造病毒、木马的人就是会武术的流氓啊。 病毒和木马原来还是有点区别的。 病毒一旦侵入您的电脑,打砸抢摔,胡作非为,不把你的计算机搞死也得弄个瘫痪,非常张扬,为恐别人不知道他的存在,另外他通常还有传播感染的能力,折腾一台还不过瘾,欲拖垮一大片,肆意嚣张。那些病毒的...
病毒行为分析初探(二)
weixin_33923762的博客
11-15 223
病毒行为分析初探(二) 为了进一步了解这个病毒木马,我的计算机做了回小白,同时还将我的杀毒软件卸了,看看他究竟是怎么样折腾的。 我的分析是从这几个方面入手:病毒木马运行后,计算机里文件有何变化;注册表有何变化;进程有何变化;端口有何变化。为此,我用了两个工具,一个是Total Uninstall 5,还有一个是XueTr。前者监视文件、册表变化;...
ProcessMonitor进程分析工具
04-16
总的来说,ProcessMonitor是一个功能强大的系统监控工具,对于开发者、系统管理员和安全研究人员来说,它是一个不可或缺的诊断和调试工具,用于深入分析系统行为,发现并解决各种问题,以及定位病毒和恶意软件活动。
ProcessMonitor0102.zip
12-06
2. "Procmon.exe":这是ProcessMonitor的主要执行程序,双击即可运行,开始对系统进行实时监控。 3. "Readme-说明.htm":这是使用说明文档,通常会提供一些安装、配置和使用过程中的注意事项。 4. "Eula.txt":这是...
进程监视工具
07-29
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。
进程日志监控工具
10-08
使用者就可以对系统中的任何文件和注册表操作同时进行监视和记录,通过注册表和文件读写的变化,对于帮助诊断系统故障或是发现恶意软件病毒或木马来说,非常有用。
三个好用的进程监视软件(杀软可能误报)
04-06
自己筛选出的几款不错的进程监控软件,推荐给大家,测试无毒
Process Monitor分析某个应用行为
weixin_30876945的博客
05-10 682
1.打开Process Mointor 2.点击filter-->filter 在弹出的对话框中Architecture 下拉框,选择Process Name 填写要分析的应用程序名字。 点击add 最后点击右下角的apply 3.执行被分析的应用,可以看到Process Mointor监控到应用的行为。 在 C:\Documents and Settings\Adm...
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包
m0_60567881的博客
04-16 1010
如果安全工程师,可以通过 Wireshark。当我 们拿到一个网站,需要对其信息进行查询,包括 IP 地址、端口扫描等,这里通 过站长之家获取 IP 地址,再在 Wireshark 软件中过滤与该 IP 相关的流量信息。WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件, 再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。通过查看创建文件的操作对进程过滤,可以发现 WinRAR 相关的文件开启进 程操作,进而发现临时路径,右键 jump to,跳转到该路径。
病毒分析
曲终人散
08-10 577
linux程序行为监控软件,Linux 进程监控工具 monit
weixin_31937913的博客
05-05 442
如果你已经使用Cacti Nagios 以及zabbix 等一系列监控工具来监控你的项目,但仍然达不到你想要的进程挂掉可以自动拉起并且邮件报警的功能,那么请往下看,推荐一款及其好用的进程监控软件Monit;Monit是一款功能非常丰富的进程、文件、目录和设备的监测软件,适用于Linux/Unix平台。 它可以自动修复那些已经停止运作的程序,特使适合处理那些由于多种原因导致的软件错误,同时Monit...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值