AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

[知识小节]Process Monitor介绍(下)

2022-01-05 1086
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: [知识小节]Process Monitor介绍

第四步,查看注册表选项

查询文件“RegSetValue”

右键选择jump to跳转到注册表。

image.png

可以看到注册表的内容,如果自启动还能看到相关键对的设置。

image.png

Windows自动重启运行的程序可以注册在下列任一注册表的位置。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

AppData\Local\Temp

它是电脑Windows系统临时存储的文件夹,会把浏览者浏览过的网站或者其它记录保存在这里。如果下次打开相应的地址,电脑会更快提取文件,甚至在没有网络时也能查看到。这是不安全的,你保密的文件文件也可能存在该位置,建议及时删除。

WriteFile:写操作,依照文件大小可能产生多条
ReadFile:读操作,一次读会产生很多条
SetAllocationInformationFile:改写文件时触发
SetEndOfFileInformationFile:改写文件时触发
SetRenameInformationFile:重命名时触发
SetDispositionInformationFile:删除文件时触发

分析恶意样本,涉及知识点包括:

  • 文件活动行为分析:Procmon监控木马客户端的文件行为
  • 注册表活动行为分析:Procmon监控木马客户端的注册表设置值行为
  • 网络活动行为分析:Wireshark监控网络行为、TCP三次握手连接、被控端与控制端之间的通信过程

CloseFile 文件-关闭

CreateFile 文件-创建

CreateMailSlot 创建邮件位

CreatePipe 创建管道

DeviceChange 设备改变

DeviceIoControl 设备输入/输出控制

FileStreamInformation 文件流信息

FileSystemControl 文件系统控制

FlushBuffersFile 清空缓冲文件

InternalDeviceIoControl 内部设备IO控制

Load Image 装载映像

LockFile 文件-锁定

NotifyChangeDirectory 提示改变目录

PlugAndPlay 即插即用

Power 电源

Process Create 进程-创建

Process Defined 进程-定义

Process Exit 进程-关闭

Profiling interrupt 配置中断?

QueryAllInformationFile 查询所有信息文件

QueryAttribbuteTagFile 查询属性标签文件

QueryAttributeInformationVolume 查询属性信息卷(容量?)

QueryBasicInformationFile 查询基本信息文件

QueryCompressionInformationFile 查询压缩信息文件

QueryControlInformationVolume 查询控制信息卷

QueryDeviceInformationVolume 查询设备信息卷

QueryDirectory 查询-目录

QueryEAFile ?

QueryEaInformationFile ?

QueryFileInternalInformationFile 查询文件内部信息文件

QueryFileQuota 查询文件配额

QueryFullSizeInformationVolume 查询全尺寸信息卷

QueryInformationVolume 查询信息卷

QueryLabelInformationVolume 查询标签信息卷

QueryMinorCode49> 查询副编码

QueryMoveClusterInformationFile 查询移动簇信息文件

QueryNameInformationFile 查询名字信息文件

QueryNetworkOpenInformationFile 查询网络开启信息文件

QueryObjectIdInformationVolume 查询对象Id信息卷

QueryOpen 查询-打开

QueryPositionInformationFile 查询位置信息文件

QuerySecurityFile 查询安全文件

QuerySizeInformationVolume 查询尺寸信息卷

QueryStandardInformationFile 查询标准信息文件

QueryStreamInformationFile 查询流信息文件

ReadFile 文件-读取

RegCloseKey 注册表-关闭键

RegCreateKey 注册表-创建键

RegDeleteKey 注册表-删除键

RegDeleteValue 注册表-删除值

RegEnumKey 注册表-枚举键

RegEnumValue 注册表-枚举值

RegFlushKey 注册表-清空键

RegLoadKey 注册表-读取键

RegOpenKey 注册表-打开键

RegQueryKey 注册表-查询键

RegQueryKeySecurity 注册表-查询键安全性

RegQueryMultipleValueKey 查询多值键

RegQueryValue 注册表-查询值

RegRenameKey 注册表-重命名键

RegSetInfoKey 设置信息键

RegSetKeySecurity 注册表-设置键安全性

RegSetValue 注册表-设置值

RegUnloadKey 卸载键

SetAllInformationFile 设置全信息文件

SetBasicInformationFile 设置基本信息文件

SetDispositionInformationFile 设置部署信息文件

SetEAFile ?

SetEndOfFileInformationFile 设置文件结尾信息文件

SetFileQuota 设置文件配额

SetLinkInformationFile 设置连接信息文件

SetPipeInformation 设置管道信息

SetPositionInformationFile 设置位置信息文件

SetRenameInformationFile 设置重命名信息文件

SetSecurityFile 设置安全文件

SetShortNameInformation 设置短名称信息

SetValidDataLengthInformationFile 设置合法数据长度信息文件

SetVolumeInformation 设置卷信息

Shutdown 关闭

SystemControl 系统控制

Thread Create 线程-创建

Thread Exit 线程-关闭

Thread Profile 线程-Profile

UnlockFileAll 文件解锁全部

WriteFile 文件-写入

希望大家可以有所收获!!!

文章标签:
监控
Windows
网络协议
安全
存储
拈花倾城
目录
相关文章
左边的天堂
|
Unix Java Linux
Runtime.exec方法之获取process id
Runtime.exec方法之获取process id
左边的天堂
215 0
咖啡机(K.F.J)
|
监控 前端开发 JavaScript
shin-monitor源码分析
shin-monitor源码分析
咖啡机(K.F.J)
78 0
Moresweet猫甜
|
Shell
奥比中光ROS启动节点运行异常退出:[camera/driver-2] process has finished cleanly
奥比中光ROS启动节点运行异常退出:[camera/driver-2] process has finished cleanly
Moresweet猫甜
485 0
奥比中光ROS启动节点运行异常退出:[camera/driver-2] process has finished cleanly
李子捌
|
存储 Java 程序员
Monitor
我们Java程序员编码时谈论的最多的两个字就是对象,Java中几乎所有的技术都是围绕对象展开。本文将要讲述的Monitor并不是Java对象,而是在操作系统中关联的“对象”,Monitor是Java重量级锁synchronized实现的关键,因此学习Java单机同步机制就离不开对Monitor的剖析。Monitor从Java层面经常被人们称为监视器锁,而在操作系统层面称为管程。
李子捌
554 2
Monitor
拈花倾城
|
监控 安全 网络协议
[知识小节]Process Monitor介绍(上)
[知识小节]Process Monitor介绍
拈花倾城
1194 0
[知识小节]Process Monitor介绍(上)
沈唁
|
开发者
Swoole v4.7 版本新特性预览之 Process\Pool::detach()
Process\Pool 是 Swoole 提供的进程池,基于 Server 的 Manager 管理进程模块实现,可管理多个工作进程。
沈唁
162 0
潇湘隐者
|
Oracle 关系型数据库 Linux
oom_kill_process造成数据库挂起并出现found dead shared server
这篇博客是上一篇博客Oracle shutdown immediate遭遇ORA-24324 ORA-24323 ORA-01089的延伸(数据库挂起hang时,才去重启的),其实这是我们海外一工厂的遇到的案例,把内容拆开是因为这个case分开讲述显得主题明确一些。
潇湘隐者
1303 0
刘建瓯
|
存储
RyuBook1.0案例二:Traffic Monitor项目源码分析
RyuBook1.0案例二:Traffic Monitor项目源码分析
刘建瓯
1573 0
玄学酱
|
测试技术
MONITOR
玄学酱
1309 0
嗯哼9925
|
数据库 网络协议 SQL
两种attach to process的方法
嗯哼9925
1556 0

热门文章

最新文章

  • 1
    Flutter之禅 内存优化篇
  • 2
    《Cadence 16.6电路设计与仿真从入门到精通》——2.4 Design Entry CIS原理图图形界面 
  • 3
    记一次对网络抖动经典案例的分析
  • 4
    国外成人网站xHamster大量用户信息黑市变卖,部分账号涉及英美政府官员
  • 5
    用户密码以BCrypt加密的方式来防范被破解
  • 6
    带你理清CPU,cache和存储器之间的逻辑运作
  • 7
    Git设置代理服务器
  • 8
    【DSW Gallery】PAI-DSW开通及授权
  • 9
    吐血整理:机器学习的30个基本概念,都在这里了(手绘图解)
  • 10
    MOSS站点的迁移(备份还原)
  • 1
    设计模式之 5 大创建型模式,万字长文深剖 ,近 30 张图解!
    49
  • 2
    《C++新特性:为多线程数据竞争检测与预防保驾护航》
    42
  • 3
    Kotlin - 区间与数组
    41
  • 4
    Kotlin - 参数与异常
    40
  • 5
    Kotlin - 运算符与中缀表达式
    35
  • 6
    Kotlin - 函数与Lambda表达式
    23
  • 7
    Kotlin - 分支与循环
    19
  • 8
    天气预报1天-中国气象局-地址查询版免费API接口教程
    21
  • 9
    《C++智能合约与区块链底层交互全解析:构建坚实的去中心化应用桥梁》
    19

    • 相关电子书

    更多
  • MongoShake -- Multi Active-Active and Cross-Region Disaster Recoverable MongoDB Service
  • HBase Current State and Future : Community View
  • Borgaonkar-New-Adventures-In-Spying-3G-And-4G-Users-Locate-Track-And-Monitor

    • 相关实验场景

    更多
  • Arthas中plaintext、pwd、quit-stop、reset基础命令应用
    • 下一篇
    阿里云OSS设置跨域访问