AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

[知识小节]Process Monitor介绍(下)

2022-01-05 1079
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: [知识小节]Process Monitor介绍

第四步,查看注册表选项

查询文件“RegSetValue”

右键选择jump to跳转到注册表。

image.png

可以看到注册表的内容,如果自启动还能看到相关键对的设置。

image.png

Windows自动重启运行的程序可以注册在下列任一注册表的位置。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

AppData\Local\Temp

它是电脑Windows系统临时存储的文件夹,会把浏览者浏览过的网站或者其它记录保存在这里。如果下次打开相应的地址,电脑会更快提取文件,甚至在没有网络时也能查看到。这是不安全的,你保密的文件文件也可能存在该位置,建议及时删除。

WriteFile:写操作,依照文件大小可能产生多条
ReadFile:读操作,一次读会产生很多条
SetAllocationInformationFile:改写文件时触发
SetEndOfFileInformationFile:改写文件时触发
SetRenameInformationFile:重命名时触发
SetDispositionInformationFile:删除文件时触发

分析恶意样本,涉及知识点包括:

  • 文件活动行为分析:Procmon监控木马客户端的文件行为
  • 注册表活动行为分析:Procmon监控木马客户端的注册表设置值行为
  • 网络活动行为分析:Wireshark监控网络行为、TCP三次握手连接、被控端与控制端之间的通信过程

CloseFile 文件-关闭

CreateFile 文件-创建

CreateMailSlot 创建邮件位

CreatePipe 创建管道

DeviceChange 设备改变

DeviceIoControl 设备输入/输出控制

FileStreamInformation 文件流信息

FileSystemControl 文件系统控制

FlushBuffersFile 清空缓冲文件

InternalDeviceIoControl 内部设备IO控制

Load Image 装载映像

LockFile 文件-锁定

NotifyChangeDirectory 提示改变目录

PlugAndPlay 即插即用

Power 电源

Process Create 进程-创建

Process Defined 进程-定义

Process Exit 进程-关闭

Profiling interrupt 配置中断?

QueryAllInformationFile 查询所有信息文件

QueryAttribbuteTagFile 查询属性标签文件

QueryAttributeInformationVolume 查询属性信息卷(容量?)

QueryBasicInformationFile 查询基本信息文件

QueryCompressionInformationFile 查询压缩信息文件

QueryControlInformationVolume 查询控制信息卷

QueryDeviceInformationVolume 查询设备信息卷

QueryDirectory 查询-目录

QueryEAFile ?

QueryEaInformationFile ?

QueryFileInternalInformationFile 查询文件内部信息文件

QueryFileQuota 查询文件配额

QueryFullSizeInformationVolume 查询全尺寸信息卷

QueryInformationVolume 查询信息卷

QueryLabelInformationVolume 查询标签信息卷

QueryMinorCode49> 查询副编码

QueryMoveClusterInformationFile 查询移动簇信息文件

QueryNameInformationFile 查询名字信息文件

QueryNetworkOpenInformationFile 查询网络开启信息文件

QueryObjectIdInformationVolume 查询对象Id信息卷

QueryOpen 查询-打开

QueryPositionInformationFile 查询位置信息文件

QuerySecurityFile 查询安全文件

QuerySizeInformationVolume 查询尺寸信息卷

QueryStandardInformationFile 查询标准信息文件

QueryStreamInformationFile 查询流信息文件

ReadFile 文件-读取

RegCloseKey 注册表-关闭键

RegCreateKey 注册表-创建键

RegDeleteKey 注册表-删除键

RegDeleteValue 注册表-删除值

RegEnumKey 注册表-枚举键

RegEnumValue 注册表-枚举值

RegFlushKey 注册表-清空键

RegLoadKey 注册表-读取键

RegOpenKey 注册表-打开键

RegQueryKey 注册表-查询键

RegQueryKeySecurity 注册表-查询键安全性

RegQueryMultipleValueKey 查询多值键

RegQueryValue 注册表-查询值

RegRenameKey 注册表-重命名键

RegSetInfoKey 设置信息键

RegSetKeySecurity 注册表-设置键安全性

RegSetValue 注册表-设置值

RegUnloadKey 卸载键

SetAllInformationFile 设置全信息文件

SetBasicInformationFile 设置基本信息文件

SetDispositionInformationFile 设置部署信息文件

SetEAFile ?

SetEndOfFileInformationFile 设置文件结尾信息文件

SetFileQuota 设置文件配额

SetLinkInformationFile 设置连接信息文件

SetPipeInformation 设置管道信息

SetPositionInformationFile 设置位置信息文件

SetRenameInformationFile 设置重命名信息文件

SetSecurityFile 设置安全文件

SetShortNameInformation 设置短名称信息

SetValidDataLengthInformationFile 设置合法数据长度信息文件

SetVolumeInformation 设置卷信息

Shutdown 关闭

SystemControl 系统控制

Thread Create 线程-创建

Thread Exit 线程-关闭

Thread Profile 线程-Profile

UnlockFileAll 文件解锁全部

WriteFile 文件-写入

希望大家可以有所收获!!!

文章标签:
监控
Windows
网络协议
安全
存储
拈花倾城
目录
相关文章
咖啡机(K.F.J)
|
监控 前端开发 JavaScript
shin-monitor源码分析
shin-monitor源码分析
咖啡机(K.F.J)
76 0
tinyvvampirepudge
|
IDE 开发工具
Waiting for another flutter command to release the startup lock... 异常解决
平时我们在开发flutter过程中,在执行`flutter packages get`命令之后,如果运气不好的,命令没有执行成功的话,我们就会遇到这个错误提示: ``` Waiting for another flutter command to release the startup lock... ```
tinyvvampirepudge
294 0
拈花倾城
|
监控 安全 网络协议
[知识小节]Process Monitor介绍(上)
[知识小节]Process Monitor介绍
拈花倾城
1186 0
[知识小节]Process Monitor介绍(上)
沈唁
|
开发者
Swoole v4.7 版本新特性预览之 Process\Pool::detach()
Process\Pool 是 Swoole 提供的进程池,基于 Server 的 Manager 管理进程模块实现,可管理多个工作进程。
沈唁
158 0
潇湘隐者
|
Oracle 关系型数据库 Linux
oom_kill_process造成数据库挂起并出现found dead shared server
这篇博客是上一篇博客Oracle shutdown immediate遭遇ORA-24324 ORA-24323 ORA-01089的延伸(数据库挂起hang时,才去重启的),其实这是我们海外一工厂的遇到的案例,把内容拆开是因为这个case分开讲述显得主题明确一些。
潇湘隐者
1301 0
刘建瓯
|
存储
RyuBook1.0案例二:Traffic Monitor项目源码分析
RyuBook1.0案例二:Traffic Monitor项目源码分析
刘建瓯
1570 0
杰克.陈
在windowService用Process.Start()启动程序没有界面-记录
原文:在windowService用Process.Start()启动程序没有界面-记录 1.在服务程序安装时编程实现,ProjectInstaller.cs   using System; using System.
杰克.陈
1005 0
嗯哼9925
|
数据库 网络协议 SQL
两种attach to process的方法
嗯哼9925
1544 0
像教授
App-V 参考工具之(一):Process Monitor
像教授
1112 0
余二五
|
Linux C++ Windows
kill process in c++(摘自Poco源码)
余二五
1550 0

热门文章

最新文章

  • 1
    Object reference not set to an instance of an object.
  • 2
    Map根据键、值进行排序
  • 3
    锐捷网络&视易K米,携手助力2016腾讯全球合作伙伴万人大会
  • 4
    Java中的定时器
  • 5
    Python正则表达式指南下下半部 
  • 6
    VirtualDesktop多媒体在何处解码?
  • 7
    文件移动脚本
  • 8
    xml在此生活
  • 9
    在不动用sp_configure的情况下,如何 =》去掉列的自增长,并保留原数据
  • 10
    聚焦技术实战!MDCC 2016 移动开发者大会盛大开幕
  • 1
    2024Mysql And Redis基础与进阶操作系列(6)作者——LJS[含MySQL 多表之一对一/多;多对多;多表联合查询等详解步骤及常见报错问题所对应的解决方法]
    32
  • 2
    猫头虎分享:鸿蒙生态带给开发者的全新机遇!轻松实现按需加载与多端适配,开发效率翻倍
    30
  • 3
    2024Mysql And Redis基础与进阶操作系列(5)作者——LJS[含MySQL DQL基本查询:select;简单、排序、分组、聚合、分组、分页等详解步骤及常见报错问题所对应的解决方法]
    25
  • 4
    理解 ES6 中的 Promise
    26
  • 5
    CSS 提高性能的方法
    23
  • 6
    CSS 预编语言的区别
    10
  • 7
    如何快速掌握 CSS 预编语言
    10
  • 8
    对 CSS 预编语言的理解
    12
  • 9
    利用缓存布局信息来减少回流和重绘的发生
    11
  • 10
    减少回流和重绘的发生
    12

    • 相关电子书

    更多
  • Borgaonkar-New-Adventures-In-Spying-3G-And-4G-Users-Locate-Track-And-Monitor
  • Debugging PySpark Or why is there a JVM stack trace and what does it mean?
  • Monitoring the Dynamic Resource Usage of Scala and Python Spark Jobs in Yarn

    • 相关实验场景

    更多
  • Arthas中plaintext、pwd、quit-stop、reset基础命令应用
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月