PCHunter工具和火绒剑比较——后者火绒工具自带,还是更容易获取,和procmon procexp比较看 进程注入的监控明显是火绒剑更合适
bonelee
帮助1人
今天又认真看了下火绒剑采集的数据,进程注入啥的都是可以采集的:
并且winxp上都支持火绒的安装,做得真的是好啊!
另外,针对恶意代码分析实战 lab 12-1的创建远程线程注入方式,我监控了下:
火绒剑报出的关键日志如下:
11:34:38:656, explorer.exe, 2744:2156, 0, THRD_resume, C:\Documents and Settings\Administrator\桌面\Chapter_12L\Lab12-01.exe, target_pid:1984 target_tid:3068 , 0x00000000 [操作成功完成。 ],
11:34:38:734, Lab12-01.exe, 1984:3068, 1984, PROC_writevm, C:\WINDOWS\explorer.exe, target_pid:2744 base:0x01750000 bytes_written:0x00000104 datalen:0x00000104 data:'43 3A 5C 44 6F 63 75 6D 65 6E 74 73 20 61 6E 64 ' , 0x00000000 [操作成功完成。 ],
11:34:38:734, Lab12-01.exe, 1984:3068, 1984, THRD_remote, C:\WINDOWS\explorer.exe, target_pid:2744 target_tid:3064 access:0x001F03FF suspended:true start_vaddr:0x7C801D7B thread_param:0xB0B5FD64 , 0x00000000 [操作成功完成。 ],
11:34:38:734, Lab12-01.exe, 1984:3068, 1984, THRD_resume, C:\WINDOWS\explorer.exe, target_pid:2744 target_tid:3064 , 0x00000000 [操作成功完成。 ],看来的确是可以监控进程注入!比procmon和procexp都方便!
火绒剑:可以查看一些可疑的进程服务启动项等。
查看进程树:
启动项:
服务:
网络:
PCHunter工具。缺点是,windows高版本网络信息,获取不全。比如木马在windows7执行后,该工具可以获取网络信息,如下图。但是同一木马在windows2018执行后,该工具获取不到网络信息。
查看可疑进程:
查看端口开启的进程:
查看非系统的可疑开机启动项:
查看可疑的服务:
查看可疑的定时任务:
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhibghkb
系列文章
更多
同类精品
更多
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
微信运动停用后别人还能看到步数吗
PHP中文网 07-22 -
excel打印预览压线压字怎么办
PHP中文网 06-22
