資訊專欄INFORMATION COLUMN
摘要:本文將分享軟件基本用法及文件進程注冊表查看,這是一款微軟推薦的系統監視工具,功能非常強大可用來檢測惡意軟件。可以幫助使用者對系統中的任何文件注冊表操作進行監視和記錄,通過注冊表和文件讀寫的變化,有效幫助診斷系統故障或發現惡意軟件病毒及木馬。
您可能之前看到過我寫的類似文章,為什么還要重復撰寫呢?只是想更好地幫助初學者了解病毒逆向分析和系統安全,更加成體系且不破壞之前的系列。因此,我重新開設了這個專欄,準備系統整理和深入學習系統安全、逆向分析和惡意代碼檢測,“系統安全”系列文章會更加聚焦,更加系統,更加深入,也是作者的慢慢成長史。換專業確實挺難的,逆向分析也是塊硬骨頭,但我也試試,看看自己未來四年究竟能將它學到什么程度,漫漫長征路,偏向虎山行。享受過程,一起加油~
前文嘗試了軟件來源分析,結合APT攻擊中常見的判斷方法,利用Python調用擴展包進行溯源,但也存在局限性。本文將分享Procmon軟件基本用法及文件進程、注冊表查看,這是一款微軟推薦的系統監視工具,功能非常強大可用來檢測惡意軟件。基礎性文章,希望對您有所幫助~
作者作為網絡安全的小白,分享一些自學基礎教程給大家,主要是在線筆記,希望您們喜歡。同時,更希望您能與我一起操作和進步,后續將深入學習網絡安全和系統安全知識并分享相關實驗。總之,希望該系列文章對博友有所幫助,寫文不易,大神們不喜勿噴,謝謝!如果文章對您有幫助,將是我創作的最大動力,點贊、評論、私聊均可,一起加油喔!
作者的github資源:
從2019年7月開始,我來到了一個陌生的專業——網絡空間安全。初入安全領域,是非常痛苦和難受的,要學的東西太多、涉及面太廣,但好在自己通過分享100篇“網絡安全自學”系列文章,艱難前行著。感恩這一年相識、相知、相趣的安全大佬和朋友們,如果寫得不好或不足之處,還請大家海涵!
接下來我將開啟新的安全系列,叫“系統安全”,也是免費的100篇文章,作者將更加深入的去研究惡意樣本分析、逆向分析、內網滲透、網絡攻防實戰等,也將通過在線筆記和實踐操作的形式分享與博友們學習,希望能與您一起進步,加油~
- 推薦前文:網絡安全自學篇系列-100篇
前文分析:
聲明:本人堅決反對利用教學方法進行犯罪的行為,一切犯罪行為必將受到嚴懲,綠色網絡需要我們共同維護,更推薦大家了解它們背后的原理,更好地進行防護。
Process Monitor是微軟推薦的一款系統監視工具,能夠實時顯示文件系統、注冊表(讀寫)、網絡連接與進程活動的高級工具。它整合了舊的Sysinternals工具、Filemon與Regmon,其中Filemon專門用來監視系統中的任何文件操作過程,Regmon用來監視注冊表的讀寫操作過程。
同時,Process Monitor增加了進程ID、用戶、進程可靠度等監視項,可以記錄到文件中。它的強大功能足以使Process Monitor成為您系統中的核心組件以及病毒探測工具。
Process?Monitor可以幫助使用者對系統中的任何文件、注冊表操作進行監視和記錄,通過注冊表和文件讀寫的變化,有效幫助診斷系統故障或發現惡意軟件、病毒及木馬。
Github下載地址:https://github.com/eastmountyxz/Security-Software-Based
CSDN下載鏈接:https://download.csdn.net/download/lxiao428/10711509
運行Process Monitor建議使用管理員模式,當你啟動Process Monitor后,它就開始監聽三類操作,包括:文件系統、注冊表、進程。
關于Procmon軟件的傳聞:曾經360隱私保護器曝出騰訊“窺私門”事件。當年的QQ聊天工具在暗中密集掃描電腦硬盤、窺視用戶的隱私文件,另兩款聊天工具MSN和阿里旺旺則沒有類似行為。隨即有網友曝料稱,早有人通過微軟Procmon(進程監視工具)發現QQ窺私的秘密。
據悉,微軟這款Windows系統進程監視工具Procmon,通過對系統中的任何文件和注冊表操作進行監視和記錄,也能幫助用戶判斷軟件是否存在“越軌”行為。與360隱私保護器相比,Procmon采用了類似的原理,但是監測對象更廣泛,適合具備一定電腦知識的用戶使用。
Procmon監測記錄表明,當時的QQ會自動訪問許多與聊天無關的程序和文檔,例如“我的文檔”等敏感位置,上網記錄等。隨后,QQ還會產生大量網絡通訊,很可能是將數據上傳到騰訊服務器。短短10分鐘內,它訪問的無關文件和網絡通訊數量多達近萬項!正常的聊天工具行為是只訪問自身文件和必要的系統文件。
下載Procmon.exe軟件后,直接雙擊啟動,Procmon會自動掃描分析系統當前程序的運行情況。其中,下圖框出來的4個常用按鈕作用分別為:捕獲開關、清屏、設置過濾條件、查找。最后5個并排的按鈕,是用來設置捕獲哪些類型的事件,分別表示注冊表的讀寫、文件的讀寫、網絡的連接、進程和線程的調用和配置事件。一般選擇前面2個,分別為注冊表和文件操作。
輸出結果中包括序號、時間點、進程名稱、PID、操作、路徑、結果、描述等,監控項通常包括:
為了更好地定制選擇,可以在過濾器中進行設置(見上圖),也可以在Options菜單中選擇Select Columns選項,然后通過彈出的列選擇對話框來定制列的顯示。常用列的選擇包括:
Application Details
– Process Name:產生事件的那個進程的名字
– Image Path:進程鏡像的完整路徑
– Command Line:命令行,用于啟動進程
– Company Name:進程鏡像文件中的企業名稱。這個文本是由應用程序的開發者來定義的
– Description:進程鏡像文件中的產品描述信息。這個文本是由應用程序的開發者定義的
– Version:進程鏡像文件中的產品版本號。這個文本是由應用程序的開發者定義的
Event Details
– Sequence Number:操作在全體事件中的相對位置,也包括當前的過濾
– Event Class:事件的類別(文件,注冊表,進程)
– Operation:特殊事件操作,比如Read、RegQueryValue等
– Date & Time:操作的日期和時間
– Time of Day:只是操作的時間
– Path:一個事件引用資源的路徑
– Detail:事件的附加信息
– Result:一個完成了的操作的狀態碼
– Relative Time:一個操作相對于Process Monitor的啟動后的時間,或者相對于Process Monitor的信息清除后的時間
– Duration:一個已經完成了的操作所持續的時間
Process Management
– User Name:正在執行操作的進程的用戶賬戶名
– Session ID:正在執行操作的進程的Windows會話ID
– Authentication ID:正在執行操作的進程的登錄會話ID
– Process ID:執行了操作的進程的進程ID
– Thread ID:執行了操作的線程的線程ID
– Integrity Level:正在運行的進程執行操作時的可信級別(僅支持Vista以上系統)
– Virtualized:執行了操作的進程的虛擬化狀態
下面我們采用分析開機自啟動的某個“hi.exe”程序。注意,作者之前第36篇文章CVE漏洞復現文章中,將“hi.exe”惡意加載至自啟動目錄,這里分析它。
C:/Users/xxxx/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
第一步,設置過濾器。
打開軟件Process Moniter,并點擊filter->filter。
在彈出的對話框中Architecture下拉框,選擇Process Name填寫要分析的應用程序名字,點擊Add添加,最后點擊右下角的Apply。
第二步,執行被分析的應用。
雙擊應用程序會彈出“計算器”。
可以看到Process Mointor監控到應用的行為。
第三步,查看可執行文件的位置。
點擊查找按鈕,然后輸入“CreateFile”。
找到該選項之后,我們右鍵點擊“Jump To”。
我們可以去到該文件所在的文件夾下,即:
Win 7/10:C:/Users/xxxx/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
Win XP:C:/Documents and Settings/Administrator/「開始」菜單/程序/啟動
第四步,查看注冊表選項。
查尋文件“RegSetValue”。
右鍵選擇jump to跳轉到注冊表。
可以看到注冊表的內容,如果自啟動還能看到相關鍵對的設置。
Windows自動重啟運行的程序可以注冊在下列任一注冊表的位置。
接著我們分析該壓縮包。
第一步,過濾器設置。
打開軟件Process Moniter,并點擊filter->filter。在彈出的對話框中Architecture下拉框,選擇Process Name填寫要分析的應用程序名字,點擊Add添加、Apply應用。注意,也可以增加其他過濾規則。
第二步,打開壓縮包及某個文件。
未打開壓縮包前運行結果如下圖所示:
打開該壓縮包中的“2020-02-22-china.csv”文件,這是作者Python大數據分析武漢疫情的開源代碼,也推薦感興趣的讀者閱讀。
Procmon顯示了與WinRAR相關的操作,如下圖所示。我們可以查看運行的進程、注冊表等信息。
第三步,查詢“china.csv”相關的文件。
可以看到臨時文件,其路徑為:
C:/Users/xxxx/AppData/Local/Temp/Rar$DIa14092.24700
第四步,右鍵點擊“Jump To”跳轉查看文件。
跟蹤這個目錄,在C盤對應目錄下找到了這個文件,打開之后和本來打開的文件內容相同。
AppData/Local/Temp
它是電腦Windows系統臨時存儲的文件夾,會把瀏覽者瀏覽過的網站或者其它記錄保存在這里。如果下次打開相應的地址,電腦會更快提取文件,甚至在沒有網絡時也能查看到。這是不安全的,你保密的文件文件也可能存在該位置,建議及時刪除。
第五步,WinRAR壓縮包內文件直接打開后,有兩種關閉方式:先關閉打開的文件,再關閉打開的壓縮包。另外一種方式是先關閉打開的壓縮包,再關閉打開的文件。建議大家利用Process Moniter分析上述兩種方式的不同點。
打開壓縮包時加載的文件個數如下圖所示。
先關閉word文件,再關閉winrar。注意,關閉word文件后,Process Monitor監測到了事件;再關閉winrar,Process Monitor也監測到了事件。
這僅是一篇基礎性用法文章,更多實例作者希望深入學習后分享出來。比如監控某個目錄下文件的創建、修改、刪除、訪問操作,從而保存日志為文件,以便日后分析。
寫到這里,這篇文章就介紹完畢,主要包括三部分內容:
接下來,作者將采用該工具在虛擬機中分析惡意樣本,涉及知識點包括:
希望這系列文章對您有所幫助,真的感覺自己技術好菜,要學的知識好多。這是第49篇原創的安全系列文章,從網絡安全到系統安全,從木馬病毒到后門劫持,從惡意代碼到溯源分析,從滲透工具到二進制工具,還有Python安全、頂會論文、黑客比賽和漏洞分享。未知攻焉知防,人生漫漫其路遠兮,作為初學者,自己真是爬著前行,感謝很多人的幫助,繼續爬著,繼續加油!
歡迎大家討論,是否覺得這系列文章幫助到您!如果存在不足之處,還請海涵。任何建議都可以評論告知讀者,共勉~
武漢加油!湖北加油!中國加油!!!
(By:Eastmount 2021-02-26 晚上12點寫于貴陽 http://blog.csdn.net/eastmount )
參考文獻:
[1] 《軟件安全》實驗之惡意樣本行為分析
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] Process Monitor分析某個應用行為 - cui0x01
[4] https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
[5] https://wenku.baidu.com/view/aaf324150b4e767f5acfcec4.html
[6] Process Monitor中文手冊 - D_R_L_T
[7] ProcessMonitor文件以及注冊表監視器的使用 - Amrecs
[8] Process Monitor監控目錄 - 監控文件被哪個進程操作了 - kendyhj9999
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/118789.html
摘要:第四章安全管理制度發布第十條安全管理制度必須以正式文件的形式發布施行。第十一條安全管理制度由信息安全管理小組制訂,信息安全領導小組審批發布。第二十條安全管理制度的修改與廢止須經信息安全領導組織審批確認,信息安全管理部門備案。 字數 3610閱讀 760評論 0贊 3《xxxx安全管理制度匯編》****制度管理辦法****文...
摘要:本章目的基于平臺整合分別完成客戶端服務端的單元測試。在測試控制器內添加了三個測試方法,我們接下來開始編寫單元測試代碼。總結本章主要介紹了基于平臺的兩種單元測試方式,一種是在服務端采用注入方式將需要測試的或者注入到測試類中,然后調用方法即可。 單元測試對于開發人員來說是非常熟悉的,我們每天的工作也都是圍繞著開發與測試進行的,在最早的時候測試都是采用工具Debug模式進行調試程序,后來Ju...
閱讀 2645·2023-04-26 02:17
閱讀 1619·2021-11-24 09:39
閱讀 1079·2021-11-18 13:13
閱讀 2649·2021-09-02 15:11
閱讀 2781·2019-08-30 15:48
閱讀 3412·2019-08-30 14:00
閱讀 2443·2019-08-29 13:43
閱讀 666·2019-08-29 13:07
