本帖最后由 byxxdrls 于 2011-5-2 11:04 编辑
前言:
论坛上面很多人是使用HIPS来跟踪病毒行为,我个人有点怕学HIPS,被那些规则搞怕了。而且个人感觉作为防御和作为测试病毒的规则应该是不同的。
当然网上有好几个很好的在线沙盘,不过,自己亲自运行病毒、跟踪病毒,其感受是不同的
--------------------------------------------------------------------------------------------------------------------------------------------------------------
process monitor简介(来自百度百科):
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化,对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。
目前最高版本是2.95,官方下载地址:
-------------------------------------------------------
简单使用: 由于procmon只是跟踪病毒行为,并不拦截病毒行为,所以应该在虚拟机上跟踪病毒。虚拟机系统应该要纯净些:不要运行非必需的应用程序及插件,以排除记录中无关因素。当然可以用过滤器,排除不相关的进程的操作。 我平时使用它来跟踪病毒,只需一个操作:那就是设置过滤器。点击“过滤器”菜单--“过滤器”命令,弹出设置对话框,添加两条规则。1、操作--是--写入文件--保留;2、操作--是--注册表设置值--保留。如图:
然后运行病毒样本,procmon就开始跟踪病毒行为,并根据过滤器的设置,显示相关记录。 附上我运行某病毒的日志吧。 通过分析日志,你就可以知道病毒写入了哪些文件,添加了什么启动项目。 如图,这就是病毒添加的服务。
-------------------------------------------------------
日志处理: 1、procmon的日志很详细,有些细节可能并不需要我们了解,有些记录也是正常的。所以有时候可以在跟踪完病毒之后,再补充一些过滤规则。
像这个记录,貌似是常规的操作,我们右击该记录,“排除”--“路径”
2、
再看这个记录,应该是病毒以64kb大小为单位写入磁盘的,procmon忠实地记录了这一切,但这样对于共享病毒的行为记录是不方便的。为此,我们可以使用procmon的一个功能:唯一值(在“工具”菜单下)。当然这个注册表设置值的记录并不太合适。
这个记录保存为CSV格式,可以用记事本打开,也可能用EXCEL打开进行编辑。
3、在EXCEL中编辑日志 借助shift键或ctrl键,我们选中procmon中的记录,然后按ctrl+c键,新建excel表格,粘贴复制的记录,删除不需要的记录,用“高级筛选”来处理重复的记录。这样就可以把日志发到论坛上共享了。
-----------------------------------------------------
其它
如果觉得日志中的无关信息太多,可以丰富规则。可以对照网上的资料。
高危注册表键值(重点保护对象)http://www.k i l l d u.cn/zhishi/2801.html
[/url]再附上process monitor的中文手册。
-------------------------------------------------------
我是菜鸟,所以一直用process monitor来跟踪病毒行为,希望此帖能帮助和我一样的菜鸟,也希望老鸟、高手指点一二。谢谢。
| 
[复制链接]
发表于 2011-5-2 10:39:13
楼主
发表于 2011-5-2 13:20:37