火绒剑最开始有独立版本,现在已经完全集成在火绒安全上了。网上流传着一些提取版的,安全性未知,不建议使用!
很多小伙伴只会用火绒拦截一下弹窗,清理垃圾,杀杀毒什么的,火绒剑可能不太会使用,今天给大家普及一下:
火绒官方介绍:火绒剑是一款很实用的软件监控,分析样本行为的软件。
火绒剑顶部分为了10个选项卡,分别是系统、进程、启动项、内核、钩子扫描、服务、驱动、网络、文件、注册表。
1. 系统 系统这个选项卡在分析样本时是特别常用的,在这下面又分成了过滤、开启监控、清空、导出日志几项。 过滤:用于过滤需要监控的信息。 开启监控:开启监控后,进程的行为被监控下来显示在界面上。 清空:清空界面上监控到的信息。 导出日志:把监控的信息以txt的形式导出。
点击过滤,就会出现下图中的日志过滤。 进程过滤 见名知意,过滤进程的相关操作。 例如我要监控点击添加按钮,添加用于要监控的软件的路径和软件名。 点击确定,然后开启监控,当我打开和关闭软件时可以看到进程的信息 图1-5 进程销毁 从图1-4和图1-5我们可以看到进程创建和进程销毁的事件,其实这个程序只是一个打印helloworld的程序,但是却产生了128个事件,说明有许多关于系统的调用的一些事件,在实际分析样本时也是需要在慢慢进行过滤。 路径过滤 也是自己添加路径,发生在监控路径下的信息都会显示出来。 图1-6 设置路径过滤 点击确定(注意:在监控路径时候先把进程过滤选项去掉) 图1-7 路径过滤信息 动作过滤 图1-8 动作过滤列表 动作过滤分为了六项监控,每一项监控中都又分成了许多小项。这次我就以文件监控中的创建文件为例: 图1-9 设置动作过滤 图1-10 创建文件事件 其他的监控还有很多,我就不一一演示,如有兴趣,可以自己进行尝试。
2. 进程 进程一项类似于任务管理器,但却比任务管理器强大。 图2-1 进程详细信息 以qq为例,双击进程,可显示图2-1所示信息。 图2-2 qq加载的系统模块 图2-3 qq加载的自带模块 句柄列表和内存列表具体用处我也不知道,这里也就不介绍了。
3. 启动项 自启动技术主要有注册表、计划任务、系统服务和快速启动目录。 火绒剑中启动项中提取到的启动项也是基于这几种技术,查看启动项可以让我们知道什么程序、服务等设置了自启动,当分析恶意样本时,也可以查看恶意样本是否设置了开机自启动等。 火绒剑将启动项的类型分的很细,便于查看 图3-1 启动项 4. 服务 在windows系统中,有一个服务控制管理器,这个管理器中保存着电脑上所有服务的信息和状态,只要能够操作这个服务控制管理器,就能够得到所有服务的信息和状态,并且能加载、启动、停止、关闭服务。 图4-1 火绒剑和windows自带服务对比 火绒剑的服务信息更全,还能快速转到文件、注册表。
5. 网络 图5-1 网络 可以查看所有联网程序的一些信息,包括进程id、安全状态、路径、使用的传输层协议、本地地址、远程地址等。
6. 文件 图6-1 文件 点开文件,打开C盘,可以看出文件一项显示出了隐藏文件。 对之前的PE文件进行提取字符串 图6-2 提取字符串 图6-3 提取到的字符串 类似于strings小软件能够提取字符串,也方便分析程序。
7. 注册表 图7-1 注册表 火绒剑的注册表和windows系统自带的注册表并无太大区别。
|