进程监视器
ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。
通过Filter-Filter打开过滤菜单,过滤文件行为
查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。
进程浏览器
Process Explorer(进程浏览器)监视系统上执行的进程,以树状结构进行显示。
- 查看进程中的DLL
- 验证签名
- 比较进程的字符串(内存、文件),判断有没有被内存注入
- Find DLL功能:在磁盘上尝试发现一个恶意的DLL,并且想知道是否有运行进程使用了这个DLL,就可以进行查找。
网络监控-ApateDNS
ApateDNS可以对用户指定的IP地址给出虚假的DNS响应,用你指定的IP地址去响应DNS查询请求。
监听某个端口-NetCat
通过ApateDNS把恶意代码请求的C2网址查询请求重定向到本机,可以在执行恶意代码前,用NetCat监听连接。
监听80端口请求:
netcat -l -p 80
Wireshark数据包监听
嗅探恶意代码通信数据包
使用INetSim
基于Linux模拟常见网络服务的免费软件,通过模拟服务(HTTP、HTTPS、FTP、IRC、DNS、SMTP等),分析未知恶意代码的网络行为。