使用Process Monitor对病毒进行行为分析
使用火绒剑/Procss Moniter对病毒进行行为分析。
Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。
实验环境及工具
win7 x86
Process Monitor(因为火绒剑在病毒运行后打不开窗口)
行为分析
第一步:运行“”熊猫烧香,并进行监控
使用过滤器,对PID 2724进行过滤。
之后监控到的就全是病毒进程的行为了。
查看进程树,在进程树中可以发现,“熊猫烧香.exe”衍生出了spoclsv.exe。衍生出的进程又打开了两次“cmd.exe”。第一次运行的命令是:
cmd.exe /c net share C$ /del /y
它的意思是在命令行模式下删除C盘的网络共享,执行完后关闭cmd.exe。因为我的系统只有一个C盘,因此有理由相信,这个病毒应该是会关闭系 统中所有的盘的网络共享。第二次运行的命令是:
cmd.exe /c net share admin$ /del /y
这里取消的是系统根目录的共享。那么由此就可以总结出病毒的两点行为:
病毒行为1:病毒本身创建了名为“spoclsv.exe”的进程,该进程文件的路径为:
C:\WINDOWS\system32\drivers\spoclsv.exe
病毒行为2:在命令行模式下使用net share命令来取消系统中的共享。
第二步:对熊猫烧香.exe文件监控分析
点击菜单栏上对应的按钮
文件的监控,主要看的是病毒是否将自己复制到其他目录,或者创建删除了哪些文件等
病毒文件在“C:WINDOWSsystem32drivers”中创建了“spoclsv.exe”这个文件,在C盘根目录下创 建了“setup.exe”与“autorun.inf”,并且在一些目录中创建了“Desktop_.ini”这个文件。由于创建这些文件之后就对注册 表的SHOWALL项进行了设置,使得隐藏文件无法显示,那么有理由相信,所创建出来的这些文件的属性都是“隐藏”的,于是有:
病毒行为:将自身拷贝到根目录,并命名为setup.exe,同时创建autorun.inf用于病毒的启动,这两个文件的属性都是“隐藏”。
病毒行为:在一些目录中创建名为Desktop_.ini的隐藏文件。
第三步:注册表分析
点击菜单栏上对应的按钮
**病毒行为:**在不停地检测键值Run,在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run中创建svcshare,用于在开机时启动位于“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。
查看一下RegDeleteValue这个操作,可见病毒程序将当时几乎所有的安全类工具的自启动项给删除了,就有:
**病毒行为:**删除安全类软件在注册表中的启动项。
对注册表的这个位置进行设置,能够实现文件的隐藏。此处进行设置后,即便在“文件夹选项”中选择“显示所有文件和文件夹”,也无法显示隐藏文件,则有:
病毒行为:修改注册表,使得隐 藏文件无法通过普通的设置进行显示,该位置为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
第四步:检测网络行为
点击菜单栏上对应的按钮
没发现有网络行为。
第四步:检测进程行为
点击菜单栏上对应的按钮
没啥好看的
使用Process Monitor对病毒进行行为分析相关推荐
- 使用Process Monitor工具监测进程对注册表和文件的操作(常用分析工具)
目录 1.概述 2.如何使用Process Monitor 3.监测进程操作注册表活动案例
- 练手之经典病毒熊猫烧香分析(上)
熊猫烧香病毒在当年可是火的一塌糊涂,感染非常迅速,算是病毒史上比较经典的案例.不过已经比较老了,基本上没啥危害,其中的技术也都过时了.作为练手项目,开始对熊猫烧香病毒进行分析.首先准备好病毒样本(看雪 ...
- 文件翻译002片:Process Monitor帮助文档(Part 2)
[筛选亮点] Process Monitor提供了一些方式来配置筛选器和高亮显示. 筛选器的包括与排除 您能够在筛选器中指定事件的属性,这样就能够令Process Monitor仅显示 ...
- Process monitor词汇汉化
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmo ...
- Process Monitor中文手册
1.介绍 2.使用Process Monitor 3.列的选择 4.过滤和高亮 5. 进程树(The Process Tree) 6. 信息概要工具(Trace Summary Tools) 7. 选 ...
- process monitor解决网络问题一则
测试环境:windows10 今天,我的防火墙程序,把windows defender的病毒库更新给屏蔽了,无法更新了.于是,找出process monitor,首先把工具栏最后五个图标(从左往右,注 ...
- 借助Process Monitor(ProcMon.exe)逆向一个CrackMe
一位名为Arkantos的作者,在Crackmes.cf(Crackme.de的镜像站点)站点上提交了一个Crackme,难度级别为1-very_easy_for_newbies.这种入门级别的Cra ...
- process monitor系统进程监视器
下载地址: https://download.csdn.net/download/qq_24127015/11116834 介绍 Process Monitor是Windows的高级监视工具,可显示实 ...
- Visual Studio 2013开发 mini-filter driver step by step 获取可执行文件名称 - 实现process monitor的一个功能 (10)
国庆就要结束了,遗憾一下:) 先看看process monitor的样子 他的功能就是监控哪些应用程序执行了什么操作,比如打开了哪些文件,读取了哪些文件等. 今天在使用一张小学英语光盘的时候,发现安装 ...
最新文章
- php跨域访问java,案例:PHP Ajax 跨域最佳解决方案
- 改变shell read命令的隔符
- 大型银行数据中心用户安全管理
- Arduino可穿戴开发入门教程Windows平台下安装Arduino IDE
- ubuntu12.04编译android4.0源代码Deug2
- Gradle在Windows下的下载安装与配置以及在IDEA中配置以及修改jar包位置
- java string 常量池_用了这么久Java String,你真的懂字符串常量池吗?
- spring mvc学习(55):简单异常处理二
- Oracle 1204 RAC failover 测试 (二)
- gensim读取已训练模型LDA模型的模型与dictionary
- Libra 的 Move 语言初探,10 行代码实现你第一个智能合约
- Zookeeper+Kafka集群搭建
- SlideSwitch仿iphone滑动开关组件,仿百度魔图滑动开关组件Android
- Spring Cloud之服务治理(注册发现)
- java调用js模板引擎_JavaScript模板引擎应用场景及实现原理详解
- 如何在.Netcore控制台应用中使用依赖注入(4)
- 云计算之路-试用Azure:搭建自己的内网DNS服务器
- 遥感大辞典_常用遥感名词词典
- 解决mac按键精灵鼠标位置不准(连点器)
- 粗糙集 rough set theory