今天又認真看了下火絨劍采集的數據,進程注入啥的都是可以采集的:
並且winxp上都支持火絨的安裝,做得真的是好啊!
另外,針對惡意代碼分析實戰 lab 12-1的創建遠程線程注入方式,我監控了下:
火絨劍報出的關鍵日志如下:
11:34:38:656, explorer.exe, 2744:2156, 0, THRD_resume, C:\Documents and Settings\Administrator\桌面\Chapter_12L\Lab12-01.exe, target_pid:1984 target_tid:3068 , 0x00000000 [操作成功完成。 ], 11:34:38:734, Lab12-01.exe, 1984:3068, 1984, PROC_writevm, C:\WINDOWS\explorer.exe, target_pid:2744 base:0x01750000 bytes_written:0x00000104 datalen:0x00000104 data:'43 3A 5C 44 6F 63 75 6D 65 6E 74 73 20 61 6E 64 ' , 0x00000000 [操作成功完成。 ], 11:34:38:734, Lab12-01.exe, 1984:3068, 1984, THRD_remote, C:\WINDOWS\explorer.exe, target_pid:2744 target_tid:3064 access:0x001F03FF suspended:true start_vaddr:0x7C801D7B thread_param:0xB0B5FD64 , 0x00000000 [操作成功完成。 ], 11:34:38:734, Lab12-01.exe, 1984:3068, 1984, THRD_resume, C:\WINDOWS\explorer.exe, target_pid:2744 target_tid:3064 , 0x00000000 [操作成功完成。 ],
看來的確是可以監控進程注入!比procmon和procexp都方便!
火絨劍:可以查看一些可疑的進程服務啟動項等。
查看進程樹:
啟動項:
服務:
網絡:
PCHunter工具。缺點是,windows高版本網絡信息,獲取不全。比如木馬在windows7執行后,該工具可以獲取網絡信息,如下圖。但是同一木馬在windows2018執行后,該工具獲取不到網絡信息。
查看可疑進程:
查看端口開啟的進程:
查看非系統的可疑開機啟動項:
查看可疑的服務:
查看可疑的定時任務:
