[系统安全]三⼗五.Procmon⼯具基本⽤法及⽂件进程、注册表查看
您可能之前看到过我写的类似⽂章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深⼊学习系统安全、逆向分析和恶意代码检测,“系统安全”系列⽂章会更加聚焦,更加系统,更加深⼊,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬⾻头,但我也试试,看看⾃⼰未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎⼭⾏。享受过程,⼀起加油~
前⽂尝试了软件来源分析,结合APT攻击中常见的判断⽅法,利⽤Python调⽤扩展包进⾏溯源,但也存在局限性。本⽂将分享Procmon软件基本⽤法及⽂件进程、注册表查看,这是⼀款微软推荐的系统监视⼯具,功能⾮常强⼤可⽤来检测恶意软件。基础性⽂章,希望对您有所帮助~
作者作为⽹络安全的⼩⽩,分享⼀些⾃学基础教程给⼤家,主要是在线笔记,希望您们喜欢。同时,更希望您能与我⼀起操作和进步,后续将深⼊学习⽹络安全和系统安全知识并分享相关实验。总之,希望该系列⽂章对博友有所帮助,写⽂不易,⼤神们不喜勿喷,谢谢!如果⽂章对您有帮助,将是我创作的最⼤动⼒,点赞、评论、私聊均可,⼀起加油喔!
⽂章⽬录
作者的github资源:
逆向分析:
⽹络安全:
从2019年7⽉开始,我来到了⼀个陌⽣的专业——⽹络空间安全。初⼊安全领域,是⾮常痛苦和难受的,要学的东西太多、涉及⾯太⼴,但好在⾃⼰通过分享100篇“⽹络安全⾃学”系列⽂章,艰难前⾏着。感恩这⼀年相识、相知、相趣的安全⼤佬和朋友们,如果写得不好或不⾜之处,还请⼤家海涵!
接下来我将开启新的安全系列,叫“系统安全”,也是免费的100篇⽂章,作者将更加深⼊的去研究恶意样本分析、逆向分析、内⽹渗透、⽹络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您⼀起进步,加油~
excel函数公式讲解推荐前⽂:
前⽂分析:
[系统安全] 三⼗五.Procmon⼯具基本⽤法及⽂件进程、注册表查看
声明:本⼈坚决反对利⽤教学⽅法进⾏犯罪的⾏为,⼀切犯罪⾏为必将受到严惩,绿⾊⽹络需要我们共同维护,更推荐⼤家了解它们背后的原理,更好地进⾏防护。
⼀.Process Monitor
1.基本介绍
Process Monitor是微软推荐的⼀款系统监视⼯具,能够实时显⽰⽂件系统、注册表(读写)、⽹络连接与进程活动的⾼级⼯具。它整合了旧的Sysinternals⼯具、Filemon与Regmon,其中Filemon专门⽤来监视系统中的任何⽂件操作过程,Regmon⽤来监视注册表的读写操作过程。
Filemon:⽂件监视器
Regmon:注册表监视器
同时,Process Monitor增加了进程ID、⽤户、进程可靠度等监视项,可以记录到⽂件中。它的强⼤功能⾜以使Process Monitor成为您系统中的核⼼组件以及病毒探测⼯具。
在这⾥插⼊图⽚描述
Process Monitor可以帮助使⽤者对系统中的任何⽂件、注册表操作进⾏监视和记录,通过注册表和⽂件读写的变化,有效帮助诊断系统故障或发现恶意软件、病毒及⽊马。
python入门教程非常详细word2.使⽤场景
运⾏Process Monitor建议使⽤管理员模式,当你启动Process Monitor后,它就开始监听三类操作,包括:⽂件系统、注册表、进程。
⽂件系统
Process Monitor显⽰所有的Windows⽂件系统活动,包括本地磁盘和远程⽂件系统。它会⾃动探测到新的⽂件系统设备并监听它们。所有的系统路径都会被显⽰为相对于在⽤户会话中的⼀个⽂件系统操作的执⾏。想在列表中清除⽂件系统的操作,在Process Monitor⼯具栏上反选“⽂件系统”按钮,再按下可以增加对⽂件系统的监听。html5注释标签
注册表
Process Monitor记录所有的注册表操作并显⽰使⽤常见的注册表根键缩写来显⽰注册表路径(如HEKY_LOCAL_MACHINE 缩写为HKLM)。想在列表中清除注册表的操作,在Process Monitor⼯具栏上反选“注册表”按钮,再次按下可以增加对注册表的监听。
进程
在Process Monitor的进程/线程监听⼦系统中,它将跟踪所有进程/线程的创建和退出操作,包括DLL和设备驱动程序的加载操作。想在列表中清除进程的操作,在Process Monitor⼯具栏上反选“进程”按钮,
再次按下可以增加对进程的监听。
⽹络
Process Monitor使⽤“Windows事件跟踪(ETW)”来跟踪并记录TCP和UDP活动。每个⽹络操作包括源地址和⽬标地址,还有发送和接受到的⼀些数量的数据,但不包括真实的数据。想在列表中清除⽹络的操作,在Process Monitor⼯具栏上反选“⽹络”按钮,再次按下可以增加对⽹络的监听。
性能分析
这个事件类可以在“选项”菜单中启⽤。当处于“启⽤”状态,Process Monitor扫描系统中所有活动的线程并为每个线程⽣成⼀个性能分析事件,记录了内核模式和⽤户模式的CPU时间消耗,还有许多在上个性能分析事件后已被线程执⾏的环境开关。
3.新闻事件
关于Procmon软件的传闻:曾经360隐私保护器曝出腾讯“窥私门”事件。当年的QQ聊天⼯具在暗中密集扫描电脑硬盘、窥视⽤户的隐私⽂件,另两款聊天⼯具MSN和阿⾥旺旺则没有类似⾏为。随即有⽹友曝料称,早有⼈通过微软Procmon(进程监视⼯具)发现QQ窥私的秘密。
据悉,微软这款Windows系统进程监视⼯具Procmon,通过对系统中的任何⽂件和注册表操作进⾏监视和记录,也能帮助⽤户判断软件是否存在“越轨”⾏为。与360隐私保护器相⽐,Procmon采⽤了类似的原理,但是监测对象更⼴泛,适合具备⼀定电脑知识的⽤户使⽤。
Procmon监测记录表明,当时的QQ会⾃动访问许多与聊天⽆关的程序和⽂档,例如“我的⽂档”等敏感位置,上⽹记录等。随后,QQ还会产⽣⼤量⽹络通讯,很可能是将数据上传到腾讯服务器。短短10分钟内,它访问的⽆关⽂件和⽹络通讯数量多达近万项!正常的聊天⼯具⾏为是只访问⾃⾝⽂件和必要的系统⽂件。
⼆.Procmon分析可执⾏⽂件
1.常见⽤法
下载软件后,直接双击启动,Procmon会⾃动扫描分析系统当前程序的运⾏情况。其中,下图框出来的4个常⽤按钮作⽤分别为:捕获开关、清屏、设置过滤条件、查。最后5个并排的按钮,是⽤来设置捕获哪些类型的事件,分别表⽰注册表的读写、⽂件的读写、⽹络的连接、进程和线程的调⽤和配置事件。⼀般选择前⾯2个,分别为注册表和⽂件操作。
在这⾥插⼊图⽚描述
输出结果中包括序号、时间点、进程名称、PID、操作、路径、结果、描述等,监控项通常包括:
⽂件系统
注册表hbase是一种文档数据库
进程:跟踪所有进程和线程的创建和退出操作
剖析事件:扫描系统中所有活动线程,为每个线程创建⼀个剖析事件,记录它耗费的核⼼和⽤户CPU时间,以及该线程⾃上次剖析事件以来执⾏了多少次上下⽂转换
为了更好地定制选择,可以在过滤器中进⾏设置(见上图),也可以在Options菜单中选择Select Columns选项,然后通过弹出的列选择对话框来定制列的显⽰。常⽤列的选择包括:
Application Details
spring集成了哪些框架>shell编程详细学习过程– Process Name:产⽣事件的那个进程的名字
– Image Path:进程镜像的完整路径
– Command Line:命令⾏,⽤于启动进程
– Company Name:进程镜像⽂件中的企业名称。这个⽂本是由应⽤程序的开发者来定义的
– Description:进程镜像⽂件中的产品描述信息。这个⽂本是由应⽤程序的开发者定义的
– Version:进程镜像⽂件中的产品版本号。这个⽂本是由应⽤程序的开发者定义的
Event Details
– Sequence Number:操作在全体事件中的相对位置,也包括当前的过滤
– Event Class:事件的类别(⽂件,注册表,进程)
– Operation:特殊事件操作,⽐如Read、RegQueryValue等
– Date & Time:操作的⽇期和时间
– Time of Day:只是操作的时间
– Path:⼀个事件引⽤资源的路径
– Detail:事件的附加信息
– Result:⼀个完成了的操作的状态码
– Relative Time:⼀个操作相对于Process Monitor的启动后的时间,或者相对于Process Monitor的信息清除后的时间
– Duration:⼀个已经完成了的操作所持续的时间
Process Management
– User Name:正在执⾏操作的进程的⽤户账户名
– Session ID:正在执⾏操作的进程的Windows会话ID
– Authentication ID:正在执⾏操作的进程的登录会话ID
– Process ID:执⾏了操作的进程的进程ID
– Thread ID:执⾏了操作的线程的线程ID
– Integrity Level:正在运⾏的进程执⾏操作时的可信级别(仅⽀持Vista以上系统)
– Virtualized:执⾏了操作的进程的虚拟化状态
2.实例分析
下⾯我们采⽤分析开机⾃启动的某个“hi.exe”程序。注意,作者之前第36篇⽂章CVE漏洞复现⽂章中,将“hi.exe”恶意加载⾄⾃启动⽬录,这⾥分析它。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论