資訊專欄INFORMATION COLUMN
摘要:本文將分享軟件基本用法及文件進(jìn)程注冊(cè)表查看,這是一款微軟推薦的系統(tǒng)監(jiān)視工具,功能非常強(qiáng)大可用來(lái)檢測(cè)惡意軟件。可以幫助使用者對(duì)系統(tǒng)中的任何文件注冊(cè)表操作進(jìn)行監(jiān)視和記錄,通過(guò)注冊(cè)表和文件讀寫(xiě)的變化,有效幫助診斷系統(tǒng)故障或發(fā)現(xiàn)惡意軟件病毒及木馬。
您可能之前看到過(guò)我寫(xiě)的類似文章,為什么還要重復(fù)撰寫(xiě)呢?只是想更好地幫助初學(xué)者了解病毒逆向分析和系統(tǒng)安全,更加成體系且不破壞之前的系列。因此,我重新開(kāi)設(shè)了這個(gè)專欄,準(zhǔn)備系統(tǒng)整理和深入學(xué)習(xí)系統(tǒng)安全、逆向分析和惡意代碼檢測(cè),“系統(tǒng)安全”系列文章會(huì)更加聚焦,更加系統(tǒng),更加深入,也是作者的慢慢成長(zhǎng)史。換專業(yè)確實(shí)挺難的,逆向分析也是塊硬骨頭,但我也試試,看看自己未來(lái)四年究竟能將它學(xué)到什么程度,漫漫長(zhǎng)征路,偏向虎山行。享受過(guò)程,一起加油~
前文嘗試了軟件來(lái)源分析,結(jié)合APT攻擊中常見(jiàn)的判斷方法,利用Python調(diào)用擴(kuò)展包進(jìn)行溯源,但也存在局限性。本文將分享Procmon軟件基本用法及文件進(jìn)程、注冊(cè)表查看,這是一款微軟推薦的系統(tǒng)監(jiān)視工具,功能非常強(qiáng)大可用來(lái)檢測(cè)惡意軟件。基礎(chǔ)性文章,希望對(duì)您有所幫助~
作者作為網(wǎng)絡(luò)安全的小白,分享一些自學(xué)基礎(chǔ)教程給大家,主要是在線筆記,希望您們喜歡。同時(shí),更希望您能與我一起操作和進(jìn)步,后續(xù)將深入學(xué)習(xí)網(wǎng)絡(luò)安全和系統(tǒng)安全知識(shí)并分享相關(guān)實(shí)驗(yàn)。總之,希望該系列文章對(duì)博友有所幫助,寫(xiě)文不易,大神們不喜勿噴,謝謝!如果文章對(duì)您有幫助,將是我創(chuàng)作的最大動(dòng)力,點(diǎn)贊、評(píng)論、私聊均可,一起加油喔!
作者的github資源:
從2019年7月開(kāi)始,我來(lái)到了一個(gè)陌生的專業(yè)——網(wǎng)絡(luò)空間安全。初入安全領(lǐng)域,是非常痛苦和難受的,要學(xué)的東西太多、涉及面太廣,但好在自己通過(guò)分享100篇“網(wǎng)絡(luò)安全自學(xué)”系列文章,艱難前行著。感恩這一年相識(shí)、相知、相趣的安全大佬和朋友們,如果寫(xiě)得不好或不足之處,還請(qǐng)大家海涵!
接下來(lái)我將開(kāi)啟新的安全系列,叫“系統(tǒng)安全”,也是免費(fèi)的100篇文章,作者將更加深入的去研究惡意樣本分析、逆向分析、內(nèi)網(wǎng)滲透、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)等,也將通過(guò)在線筆記和實(shí)踐操作的形式分享與博友們學(xué)習(xí),希望能與您一起進(jìn)步,加油~
前文分析:
聲明:本人堅(jiān)決反對(duì)利用教學(xué)方法進(jìn)行犯罪的行為,一切犯罪行為必將受到嚴(yán)懲,綠色網(wǎng)絡(luò)需要我們共同維護(hù),更推薦大家了解它們背后的原理,更好地進(jìn)行防護(hù)。
Process Monitor是微軟推薦的一款系統(tǒng)監(jiān)視工具,能夠?qū)崟r(shí)顯示文件系統(tǒng)、注冊(cè)表(讀寫(xiě))、網(wǎng)絡(luò)連接與進(jìn)程活動(dòng)的高級(jí)工具。它整合了舊的Sysinternals工具、Filemon與Regmon,其中Filemon專門(mén)用來(lái)監(jiān)視系統(tǒng)中的任何文件操作過(guò)程,Regmon用來(lái)監(jiān)視注冊(cè)表的讀寫(xiě)操作過(guò)程。
同時(shí),Process Monitor增加了進(jìn)程ID、用戶、進(jìn)程可靠度等監(jiān)視項(xiàng),可以記錄到文件中。它的強(qiáng)大功能足以使Process Monitor成為您系統(tǒng)中的核心組件以及病毒探測(cè)工具。
Process?Monitor可以幫助使用者對(duì)系統(tǒng)中的任何文件、注冊(cè)表操作進(jìn)行監(jiān)視和記錄,通過(guò)注冊(cè)表和文件讀寫(xiě)的變化,有效幫助診斷系統(tǒng)故障或發(fā)現(xiàn)惡意軟件、病毒及木馬。
Github下載地址:https://github.com/eastmountyxz/Security-Software-Based
CSDN下載鏈接:https://download.csdn.net/download/lxiao428/10711509
運(yùn)行Process Monitor建議使用管理員模式,當(dāng)你啟動(dòng)Process Monitor后,它就開(kāi)始監(jiān)聽(tīng)三類操作,包括:文件系統(tǒng)、注冊(cè)表、進(jìn)程。
關(guān)于Procmon軟件的傳聞:曾經(jīng)360隱私保護(hù)器曝出騰訊“窺私門(mén)”事件。當(dāng)年的QQ聊天工具在暗中密集掃描電腦硬盤(pán)、窺視用戶的隱私文件,另兩款聊天工具M(jìn)SN和阿里旺旺則沒(méi)有類似行為。隨即有網(wǎng)友曝料稱,早有人通過(guò)微軟Procmon(進(jìn)程監(jiān)視工具)發(fā)現(xiàn)QQ窺私的秘密。
據(jù)悉,微軟這款Windows系統(tǒng)進(jìn)程監(jiān)視工具Procmon,通過(guò)對(duì)系統(tǒng)中的任何文件和注冊(cè)表操作進(jìn)行監(jiān)視和記錄,也能幫助用戶判斷軟件是否存在“越軌”行為。與360隱私保護(hù)器相比,Procmon采用了類似的原理,但是監(jiān)測(cè)對(duì)象更廣泛,適合具備一定電腦知識(shí)的用戶使用。
Procmon監(jiān)測(cè)記錄表明,當(dāng)時(shí)的QQ會(huì)自動(dòng)訪問(wèn)許多與聊天無(wú)關(guān)的程序和文檔,例如“我的文檔”等敏感位置,上網(wǎng)記錄等。隨后,QQ還會(huì)產(chǎn)生大量網(wǎng)絡(luò)通訊,很可能是將數(shù)據(jù)上傳到騰訊服務(wù)器。短短10分鐘內(nèi),它訪問(wèn)的無(wú)關(guān)文件和網(wǎng)絡(luò)通訊數(shù)量多達(dá)近萬(wàn)項(xiàng)!正常的聊天工具行為是只訪問(wèn)自身文件和必要的系統(tǒng)文件。
下載Procmon.exe軟件后,直接雙擊啟動(dòng),Procmon會(huì)自動(dòng)掃描分析系統(tǒng)當(dāng)前程序的運(yùn)行情況。其中,下圖框出來(lái)的4個(gè)常用按鈕作用分別為:捕獲開(kāi)關(guān)、清屏、設(shè)置過(guò)濾條件、查找。最后5個(gè)并排的按鈕,是用來(lái)設(shè)置捕獲哪些類型的事件,分別表示注冊(cè)表的讀寫(xiě)、文件的讀寫(xiě)、網(wǎng)絡(luò)的連接、進(jìn)程和線程的調(diào)用和配置事件。一般選擇前面2個(gè),分別為注冊(cè)表和文件操作。
輸出結(jié)果中包括序號(hào)、時(shí)間點(diǎn)、進(jìn)程名稱、PID、操作、路徑、結(jié)果、描述等,監(jiān)控項(xiàng)通常包括:
為了更好地定制選擇,可以在過(guò)濾器中進(jìn)行設(shè)置(見(jiàn)上圖),也可以在Options菜單中選擇Select Columns選項(xiàng),然后通過(guò)彈出的列選擇對(duì)話框來(lái)定制列的顯示。常用列的選擇包括:
Application Details
– Process Name:產(chǎn)生事件的那個(gè)進(jìn)程的名字
– Image Path:進(jìn)程鏡像的完整路徑
– Command Line:命令行,用于啟動(dòng)進(jìn)程
– Company Name:進(jìn)程鏡像文件中的企業(yè)名稱。這個(gè)文本是由應(yīng)用程序的開(kāi)發(fā)者來(lái)定義的
– Description:進(jìn)程鏡像文件中的產(chǎn)品描述信息。這個(gè)文本是由應(yīng)用程序的開(kāi)發(fā)者定義的
– Version:進(jìn)程鏡像文件中的產(chǎn)品版本號(hào)。這個(gè)文本是由應(yīng)用程序的開(kāi)發(fā)者定義的
Event Details
– Sequence Number:操作在全體事件中的相對(duì)位置,也包括當(dāng)前的過(guò)濾
– Event Class:事件的類別(文件,注冊(cè)表,進(jìn)程)
– Operation:特殊事件操作,比如Read、RegQueryValue等
– Date & Time:操作的日期和時(shí)間
– Time of Day:只是操作的時(shí)間
– Path:一個(gè)事件引用資源的路徑
– Detail:事件的附加信息
– Result:一個(gè)完成了的操作的狀態(tài)碼
– Relative Time:一個(gè)操作相對(duì)于Process Monitor的啟動(dòng)后的時(shí)間,或者相對(duì)于Process Monitor的信息清除后的時(shí)間
– Duration:一個(gè)已經(jīng)完成了的操作所持續(xù)的時(shí)間
Process Management
– User Name:正在執(zhí)行操作的進(jìn)程的用戶賬戶名
– Session ID:正在執(zhí)行操作的進(jìn)程的Windows會(huì)話ID
– Authentication ID:正在執(zhí)行操作的進(jìn)程的登錄會(huì)話ID
– Process ID:執(zhí)行了操作的進(jìn)程的進(jìn)程ID
– Thread ID:執(zhí)行了操作的線程的線程ID
– Integrity Level:正在運(yùn)行的進(jìn)程執(zhí)行操作時(shí)的可信級(jí)別(僅支持Vista以上系統(tǒng))
– Virtualized:執(zhí)行了操作的進(jìn)程的虛擬化狀態(tài)
下面我們采用分析開(kāi)機(jī)自啟動(dòng)的某個(gè)“hi.exe”程序。注意,作者之前第36篇文章CVE漏洞復(fù)現(xiàn)文章中,將“hi.exe”惡意加載至自啟動(dòng)目錄,這里分析它。
C:/Users/xxxx/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
第一步,設(shè)置過(guò)濾器。
打開(kāi)軟件Process Moniter,并點(diǎn)擊filter->filter。
在彈出的對(duì)話框中Architecture下拉框,選擇Process Name填寫(xiě)要分析的應(yīng)用程序名字,點(diǎn)擊Add添加,最后點(diǎn)擊右下角的Apply。
第二步,執(zhí)行被分析的應(yīng)用。
雙擊應(yīng)用程序會(huì)彈出“計(jì)算器”。
可以看到Process Mointor監(jiān)控到應(yīng)用的行為。
第三步,查看可執(zhí)行文件的位置。
點(diǎn)擊查找按鈕,然后輸入“CreateFile”。
找到該選項(xiàng)之后,我們右鍵點(diǎn)擊“Jump To”。
我們可以去到該文件所在的文件夾下,即:
Win 7/10:C:/Users/xxxx/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
Win XP:C:/Documents and Settings/Administrator/「開(kāi)始」菜單/程序/啟動(dòng)
第四步,查看注冊(cè)表選項(xiàng)。
查尋文件“RegSetValue”。
右鍵選擇jump to跳轉(zhuǎn)到注冊(cè)表。
可以看到注冊(cè)表的內(nèi)容,如果自啟動(dòng)還能看到相關(guān)鍵對(duì)的設(shè)置。
Windows自動(dòng)重啟運(yùn)行的程序可以注冊(cè)在下列任一注冊(cè)表的位置。
接著我們分析該壓縮包。
第一步,過(guò)濾器設(shè)置。
打開(kāi)軟件Process Moniter,并點(diǎn)擊filter->filter。在彈出的對(duì)話框中Architecture下拉框,選擇Process Name填寫(xiě)要分析的應(yīng)用程序名字,點(diǎn)擊Add添加、Apply應(yīng)用。注意,也可以增加其他過(guò)濾規(guī)則。
第二步,打開(kāi)壓縮包及某個(gè)文件。
未打開(kāi)壓縮包前運(yùn)行結(jié)果如下圖所示:
打開(kāi)該壓縮包中的“2020-02-22-china.csv”文件,這是作者Python大數(shù)據(jù)分析武漢疫情的開(kāi)源代碼,也推薦感興趣的讀者閱讀。
Procmon顯示了與WinRAR相關(guān)的操作,如下圖所示。我們可以查看運(yùn)行的進(jìn)程、注冊(cè)表等信息。
第三步,查詢“china.csv”相關(guān)的文件。
可以看到臨時(shí)文件,其路徑為:
C:/Users/xxxx/AppData/Local/Temp/Rar$DIa14092.24700
第四步,右鍵點(diǎn)擊“Jump To”跳轉(zhuǎn)查看文件。
跟蹤這個(gè)目錄,在C盤(pán)對(duì)應(yīng)目錄下找到了這個(gè)文件,打開(kāi)之后和本來(lái)打開(kāi)的文件內(nèi)容相同。
AppData/Local/Temp
它是電腦Windows系統(tǒng)臨時(shí)存儲(chǔ)的文件夾,會(huì)把瀏覽者瀏覽過(guò)的網(wǎng)站或者其它記錄保存在這里。如果下次打開(kāi)相應(yīng)的地址,電腦會(huì)更快提取文件,甚至在沒(méi)有網(wǎng)絡(luò)時(shí)也能查看到。這是不安全的,你保密的文件文件也可能存在該位置,建議及時(shí)刪除。
第五步,WinRAR壓縮包內(nèi)文件直接打開(kāi)后,有兩種關(guān)閉方式:先關(guān)閉打開(kāi)的文件,再關(guān)閉打開(kāi)的壓縮包。另外一種方式是先關(guān)閉打開(kāi)的壓縮包,再關(guān)閉打開(kāi)的文件。建議大家利用Process Moniter分析上述兩種方式的不同點(diǎn)。
打開(kāi)壓縮包時(shí)加載的文件個(gè)數(shù)如下圖所示。
先關(guān)閉word文件,再關(guān)閉winrar。注意,關(guān)閉word文件后,Process Monitor監(jiān)測(cè)到了事件;再關(guān)閉winrar,Process Monitor也監(jiān)測(cè)到了事件。
這僅是一篇基礎(chǔ)性用法文章,更多實(shí)例作者希望深入學(xué)習(xí)后分享出來(lái)。比如監(jiān)控某個(gè)目錄下文件的創(chuàng)建、修改、刪除、訪問(wèn)操作,從而保存日志為文件,以便日后分析。
寫(xiě)到這里,這篇文章就介紹完畢,主要包括三部分內(nèi)容:
接下來(lái),作者將采用該工具在虛擬機(jī)中分析惡意樣本,涉及知識(shí)點(diǎn)包括:
希望這系列文章對(duì)您有所幫助,真的感覺(jué)自己技術(shù)好菜,要學(xué)的知識(shí)好多。這是第49篇原創(chuàng)的安全系列文章,從網(wǎng)絡(luò)安全到系統(tǒng)安全,從木馬病毒到后門(mén)劫持,從惡意代碼到溯源分析,從滲透工具到二進(jìn)制工具,還有Python安全、頂會(huì)論文、黑客比賽和漏洞分享。未知攻焉知防,人生漫漫其路遠(yuǎn)兮,作為初學(xué)者,自己真是爬著前行,感謝很多人的幫助,繼續(xù)爬著,繼續(xù)加油!
歡迎大家討論,是否覺(jué)得這系列文章幫助到您!如果存在不足之處,還請(qǐng)海涵。任何建議都可以評(píng)論告知讀者,共勉~
武漢加油!湖北加油!中國(guó)加油!!!
(By:Eastmount 2021-02-26 晚上12點(diǎn)寫(xiě)于貴陽(yáng) http://blog.csdn.net/eastmount )
參考文獻(xiàn):
[1] 《軟件安全》實(shí)驗(yàn)之惡意樣本行為分析
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] Process Monitor分析某個(gè)應(yīng)用行為 - cui0x01
[4] https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
[5] https://wenku.baidu.com/view/aaf324150b4e767f5acfcec4.html
[6] Process Monitor中文手冊(cè) - D_R_L_T
[7] ProcessMonitor文件以及注冊(cè)表監(jiān)視器的使用 - Amrecs
[8] Process Monitor監(jiān)控目錄 - 監(jiān)控文件被哪個(gè)進(jìn)程操作了 - kendyhj9999
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/118789.html
摘要:第四章安全管理制度發(fā)布第十條安全管理制度必須以正式文件的形式發(fā)布施行。第十一條安全管理制度由信息安全管理小組制訂,信息安全領(lǐng)導(dǎo)小組審批發(fā)布。第二十條安全管理制度的修改與廢止須經(jīng)信息安全領(lǐng)導(dǎo)組織審批確認(rèn),信息安全管理部門(mén)備案。 字?jǐn)?shù) 3610閱讀 760評(píng)論 0贊 3《xxxx安全管理制度匯編》****制度管理辦法****文...
摘要:本章目的基于平臺(tái)整合分別完成客戶端服務(wù)端的單元測(cè)試。在測(cè)試控制器內(nèi)添加了三個(gè)測(cè)試方法,我們接下來(lái)開(kāi)始編寫(xiě)單元測(cè)試代碼。總結(jié)本章主要介紹了基于平臺(tái)的兩種單元測(cè)試方式,一種是在服務(wù)端采用注入方式將需要測(cè)試的或者注入到測(cè)試類中,然后調(diào)用方法即可。 單元測(cè)試對(duì)于開(kāi)發(fā)人員來(lái)說(shuō)是非常熟悉的,我們每天的工作也都是圍繞著開(kāi)發(fā)與測(cè)試進(jìn)行的,在最早的時(shí)候測(cè)試都是采用工具Debug模式進(jìn)行調(diào)試程序,后來(lái)Ju...
閱讀 2637·2023-04-26 02:17
閱讀 1610·2021-11-24 09:39
閱讀 1069·2021-11-18 13:13
閱讀 2598·2021-09-02 15:11
閱讀 2769·2019-08-30 15:48
閱讀 3405·2019-08-30 14:00
閱讀 2431·2019-08-29 13:43
閱讀 657·2019-08-29 13:07
