前言
接上篇。使用动态分析工具对病毒进行初步分析,可以确定和获取到病毒的相关操作。(文末有这个系列需要的工具包下载链接)
Process Explorer使用
在进程右键 →查看属性,可以获得关于该进程的信息,如TCP/IP流量信息:捕获异常流量,线程模块:看线程是否异常等。
Process Monitor使用
Process Monitor 提供了一种方式来监控注册、文件系统、网 络、进程、线程行为,可以获取和监视很多数据。换言之,可以直观看到一个程序执行了什么操作。
基本使用
在点击捕获后可以获取到电脑此时在执行的操作
过滤条件设置
开启该程序监视后,会发现出现了很多的事件,此时要在成千上万的事件中找到信息就需要用到过滤功能,比如:设置包含该文件路径,执行时便可以筛去很多多余的信息。
可替换工具 火绒剑
中文显示,可能会符合有的人的使用习惯。使用方法同上:设置过滤等
总结
其实到初步动态分析这一步,很多病毒的基本分析已经可以实现了。但是如果遇到病毒本身具有较强的反调试、反分析的能力,那还需要进行逆向分析。
如果有需要,基本分析这一块还可以展开讲讲,欢迎大家反馈。
病毒系列工具下载
往期回顾
后记
SpaceSec安全团队热衷分享网络安全相关的技术,希望能和各位师傅们一同成长,后续更新内容将会在公众号中持续更新,欢迎关注交流呀~
关注公众号 SpaceSec安全团队,回复关键字 "小程序",即可获得小程序解密工具,“子域名”-获取子域名工具,“先知”-获取先知社区文章合集。
声明
-
本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与SpaceSec安全团队及作者无关!
-
文章中部分学习内容来自于网络,回馈予网络,如涉及版权问题,请联系删除。
-
SpaceSec 保留对文章绝对的解释权,转载与传播时须保证文章的完整性,同时标明出处。未经允许,禁止转载或用于商业用途。
原文始发于微信公众号(SpaceSec安全团队):病毒分析系列3 | 初步动态分析工具使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论