使用Process Monitor对病毒进行行为分析

最新推荐文章于 2024-05-13 20:41:09 发布
最新推荐文章于 2024-05-13 20:41:09 发布
阅读量3.7k 收藏 23
点赞数 4
分类专栏: 病毒分析 逆向分析基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/105925193
版权

使用火绒剑/Procss Moniter对病毒进行行为分析。
Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。

实验环境及工具

win7 x86
Process Monitor(因为火绒剑在病毒运行后打不开窗口)

行为分析

第一步:运行“”熊猫烧香,并进行监控
使用过滤器,对PID 2724进行过滤。
在这里插入图片描述
之后监控到的就全是病毒进程的行为了。
在这里插入图片描述
查看进程树,在进程树中可以发现,“熊猫烧香.exe”衍生出了spoclsv.exe。衍生出的进程又打开了两次“cmd.exe”。第一次运行的命令是:

cmd.

最低0.47元/天 解锁文章
王大碗Dw
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
在线沙盒(恶意软件行为分析工具)整理介绍
未晚的专栏
04-04 2万+
进行未知文件分析时,有时我们需要实际运行它,并记录他的一切行为,进而对其进行分析。当然,我们可以用真机或者虚拟机,结合一些行为记录软件进行测试,但在线沙盒有时会更加方便实用。下面就介绍几个我找到的在线沙盒。 1 火眼(https://fireeye.ijinshan.com)         火眼是国内的一个在线文件分析站点,由金山公司开发。在这里,你可以提交自己的文件进行分析,目前支
ProcessMonitor进程分析工具
04-16
总的来说,ProcessMonitor是一个功能强大的系统监控工具,对于开发者、系统管理员和安全研究人员来说,它是一个不可或缺的诊断和调试工具,用于深入分析系统行为,发现并解决各种问题,以及定位病毒和恶意软件活动。
探索高效监控:Inspeqtor - 实时进程监控工具
gitblog_00005的博客
03-25 896
探索高效监控:Inspeqtor - 实时进程监控工具 项目地址:https://gitcode.com/mperham/inspeqtor Inspeqtor 是由 Michael Perham 开发的一款轻量级、实时的进程监控工具,专为帮助开发者更好地理解与管理他们的应用程序而设计。本文将详细介绍 Inspeqtor 的功能、技术实现及应用场景,以期吸引更多的开发者尝试并利用这一工具提升工作效...
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包
最新发布
2401_84545016的博客
05-13 920
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
如何简单方便的检测软件是否携带病毒或木马?
leah126的博客
05-18 2522
参考自己实际体验和杀毒软件测试机构AV-Comparatives给的资料:https://www.av-comparatives.org/upcoming-av-comparatives-certification-tests-2020/国内杀软推荐火绒安全:国内最为出色的杀毒工具,最重要的是免费且不流氓,这是难得可贵的。中国市场支持的很好,没什么缺点,可以试用,需要付费。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。对中国市场优化的很好。
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
2401_83621541的博客
04-14 739
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
[系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看
神棍之路
12-07 2355
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~前文尝试了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助~作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在
恶意代码分析实战—实验3-3
qq_43481350的博客
09-01 413
实验环境 实验设备环境:windows XP 实验检测工具:process monitor ,porcess explore 实验思路 1、观察恶意程序创建出的进程 2、分析正常进程与恶意程序进程的不同 3、监控分析恶意程序的特征 实验过程 1、当使用process monitor进行监控的时候,你发现了什么? 打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下: 可以观察到其是一个孤儿进程,即没有
进程分析工具ProcessMonitor.zip
05-28
使用Process Monitor进行进程分析时,你可以关注以下几个方面: 1. 资源占用:通过监控CPU、内存、磁盘I/O等资源的使用情况,可以找出消耗资源过多的进程,从而优化系统性能。 2. 文件系统活动:分析文件读写操作...
ProcessMonitor0102.zip
12-06
2. "Procmon.exe":这是ProcessMonitor的主要执行程序,双击即可运行,开始对系统进行实时监控。 3. "Readme-说明.htm":这是使用说明文档,通常会提供一些安装、配置和使用过程中的注意事项。 4. "Eula.txt":这是...
ProcessMonitor.zip
03-15
"进程行为监控"进一步强调了ProcessMonitor行为分析上的能力。它可以识别出进程间的交互,比如父进程启动子进程,或者一个进程试图修改另一个进程的空间。这种洞察力在排查问题、优化系统性能和防止恶意活动方面都...
进程日志监控工具
10-08
使用者就可以对系统中的任何文件和注册表操作同时进行监视和记录,通过注册表和文件读写的变化,对于帮助诊断系统故障或是发现恶意软件病毒或木马来说,非常有用。
EXE文件分析器(可以给EXE资源编辑)
01-28
可以给EXE资源编辑 可以编辑外挂补丁等其他的资源 功能很强大的哦
C++编写的Exe文件格式分析程序源代码
04-27
C++编写的Exe文件格式分析程序源代码,C++编写的Exe文件格式分析程序源代码
process monitor
12-10
进程监控 过程监控是一种先进的监测工具,针对Windows ,显示实时文件系统,注册表和进程/线程活动。它结合的特点,两个传统的Sysinternals工具, Filemon和Regmon ,并添加了广泛的名单,其中包括加强富国和非破坏性的过滤,全面的事件属性,如会话ID和用户名,可靠的进程信息,充分线程栈集成象征支持每个行动,同时记录到一个文件中,以及更多。
WIN7 WIN10 后台进程监测小工具
02-07
经过严格测试才拿来和大家分享
KProcessMon_KProcess_进程监视工具_监视内存_ProcessMonitor_
09-29
此工具与知名的"ProcessMonitor"类似,但具有更多增强功能,特别是在进程内存操作、模块加载和敏感操作的监控方面。 首先,我们要理解KProcessMon的核心价值。如同ProcessMonitor一样,它能实时地记录系统级别的...
病毒分析常用工具集
哆啦安全
09-14 1542
FileMonitor(系统文件监视器) 查壳工具 ProcessMonitor(监控程序运行) StudyPE+查壳PE样本的导入表 upx脱壳工具 Windows可执行二进制文件静态分析取证工具 查看PE文件信息工具 PYG密码学综合工具 RECalcTool.app.ver2.3.win QT静态编译单文件版本 https://pan.baidu.com/s/151UVHKb7gjviX...
病毒分析常用软件
kernweak的博客
08-20 1882
Process Explorer进程浏览器,可以使用验证 Dependency Walker探索动态链接函数 RegShot 注册表比较工具 ApateDNS 查看恶意代码发出DNS请求。 Netcat进行网络监控 Wireshark 抓包 INetSim 基于linux模拟常见的网络服务软件 Process Explorer 可以看加载的dll还有handle Process M...
怎么使用Process Monitor
05-24
Process Monitor是Windows系统下的一个工具,用于监视和记录系统上的进程活动。它可以帮助用户了解系统中运行的进程、文件、注册表和网络操作等信息,是排查系统问题和分析恶意软件的有力工具。 以下是使用Process Monitor的步骤: 1. 下载Process Monitor并解压缩到本地; 2. 双击运行Procmon.exe,进入主界面; 3. 在主界面上方的工具栏中,点击“Filter”按钮,弹出过滤器设置窗口; 4. 在过滤器设置窗口中,可以设置过滤器的条件,如进程名、文件路径、操作类型、结果等。设置好过滤器后,点击“Add”按钮保存过滤器; 5. 在主界面中,点击“Capture”按钮开始记录进程活动,点击“Stop”按钮停止记录; 6. 在记录过程中,可以在进程列表中选择要分析进程,查看其活动记录,包括文件读写、注册表操作、网络连接等; 7. 可以使用Process Monitor的搜索功能,查找特定的进程、文件或操作; 8. 分析完毕后,可以将记录保存为日志文件,以便后续分析。 需要注意的是,Process Monitor的记录过程会对系统性能产生影响,因此在记录前应该关闭不必要的应用程序和服务,以避免对记录结果的影响。同时,由于记录的内容较为详细,初次使用可能会有些复杂,需要一定的学习和实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值