SysAnalyzer试用手记

granthill

  

   很流水的一篇手记，大家将就的看看吧！有啥错误的地方请大家留言或PM。

  

  工作原理：系统快照。

  启动界面：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-18.png

  Executable栏-目标程序，必须是可执行。Delay栏-两次快照的间隔时间，下边三个选项分别为嗅探、Api记录及文件监视功能，选中表示启用以上功能。

  以自带的“Test Binary”程序来做演示。分析功能显示栏包括图几个部分。

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-140.png

  “Running Processes”显示系统进程的差别，即产生了safe_test1.exe进程，

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-193.png

  “Open ports”显示打开端口情况:

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-219.png

“Process Dlls”显示的是嵌入到Explorer及IE中的dll文件：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-261.png

  “Load Drives”显示的是加载的驱动：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-286.png

  “Reg Monitor”显示注册表的监视结果：HK\Software\Miscrosoft\Windows\CurrentVersion\Run进行了两次操作：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-375.png

  “Api Log”显示：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-391.png

  “Directory Watch Data”显示的是对文件的创建、删除、修改等监视结果：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-438.png

  第二幅图片中的“Tool”，可建立已知文件数据库，数据库的建立必须是在干净系统中建立：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-484.png

  点击第二幅图中的“Report”并保存会在桌面上生成一个名为analysis的文件夹，里边有两个样本，其中一个是从内存中转储出来的；两个报告：一个是上述的几个显示结果统计，另一个是对样本简单反汇编后查找出的字符串值：

file:///C:/DOCUME%7E1/liu/LOCALS%7E1/Temp/ksohtml/wps_clip_image-595.png

  需要特别提醒的是SysAnalyzer并不具有沙盘的功能。

  Sysanalyzer还有很多好玩的其他功能，就不一一写出了，大家闲暇之余自己去挖掘吧！