工具总览
Sysmon
系统监视器,启动后会监视系统活动并记录到事件日志
日志路径:
1)Win+R,应用程序与服务日志-microsoft-windows-sysmon-Microsoft-Windows-Sysmon/Operational
2)%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx
PC Hunter
用于分析隐藏进程以及钩子,但由于无法查看进程操作,对非隐藏进程排查更推荐ProcessExplorer
1.进程,对进程进行操作,校验进程签名,且可直接打开进程所在文件
2.驱动,对驱动(包括隐藏驱动)进行操作以及校验
3.查看系统钩子,包括内核钩子和应用层钩子
钩子:用于监视、拦截、修改系统或应用程序的行为
内核钩子:针对操作系统底层调用
应用层钩子:主要针对应用程序的API
eg:消息钩子中的键盘钩子可获取键盘输入
4.网络,查看网络连接
5.注册表,查看所有注册表内容
6.文件,启动信息
7.杂项,查看出站入站规则以及用户等
8.体检,对系统主动进行检测
9.配置,对操作系统进行临时操作,可进行强制操作
ProcessExplorer
1.主界面展示进程的父子关系,并通过颜色判断进程状态与类型
| 颜色 | 作用 |
|---|---|
| 绿色 | 新创建的进程(New Objects) |
| 红色 | 进程退出之前闪红色(Deleted Objects) |
| 浅蓝色 | 多用户场景下,同一用户的进程(Own Processes) |
| 粉色 | Windows系统服务进程(Services) |
| 灰色 | 被挂起或暂停进程(Suspended Processes) |
| 紫色 | 进程存在隐藏代码或压缩代码 |
| … | … |
注:颜色对应关系可修改:options-configure colors
2.可右键标签页选择需要展示的标签页
| 常用标签页 | 功能 |
|---|---|
| user name | 运行该进程的用户,可判断执行该程序权限 |
| image path | 进程所在文件路径 |
| Image type | 进程位数,64位还是32位 |
| session | 进程所在会话ID |
| Command line | 进程命令行参数 |
3.选中进程,点击ctrl+d,即可查看进程调用的dll情况
可通过修改主标签页中dll相关选项,修改此标签页内容
4.选中进程,ctrl+h,查看进程相关句柄
5.右键进程,可对进程进行操作
杀死进程、重启进程、挂起进程
6.ctrl+f,可搜索文件
Autoruns
排查方向:
1.文件是否有数字签名,以及签名是否有效
2.发行公司与描述是否为空,正常正版软件都会填写这部分内容,若为空,需关注
3.可以查看程序对应物理路径
4.可以查看基于各种场景拉起的加载器,如登录后拉起(logon)、图形化界面程序拉起(explorer)、浏览器拉起(IE),计划任务拉起(scheduled tasks)等等
5.若确认异常,可直接操作删除(如本例中伪装的计划任务,systeam)
Microsoft Network Monitor
选择需抓包网卡
process monitor
Process Monitor用于显示文件系统、注册表、网络连接、进程/线程活动时间。结合了早期工具Filemon和Regmon的功能
1.主界面
2.设置监控条件,包括只监控注册表活动、只监控文件操作活动、只监控网络活动、只监控进程与线程活动、只监控配置事件
3.设置过滤器,第二点完成后会自动设置,也可手动设置
4.跳转至事件操作的具体文件路径,ctrl + j
5.查看进程相关进程树,ctrl+T
6.高亮,ctrl + H
7.启停捕获 ctrl+E,自动滚动 ctrl+A,清空 ctrl+X,保存 ctrl+S
8.TOOLS
1)进程活动摘要:统计资源占用以及各类事件分布
2)文件摘要:基于被修改文件路径,文件夹、扩展统计事件分布
3)注册表摘要:基于抓取期间修改的注册表路径事件统计
4)堆栈摘要:基于进程的堆栈数量、模块等统计
5)网络摘要
TCP View
查看TCP连接
进程高亮,终止进程
扫一扫
3482
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
