Joan接下來要講的是Systinternals出的Process Monitor006.bmp

Process Monitor是一個可以同時監控Registry(登錄檔)與Process(執行程序)的軟體

Joan最近用它來測試準備發表的一個惡意程式阻斷器(改天有機會再介紹給同胞們認識)

因為要測病毒,花了很多時間查病毒百科

為的就是要查詢在系統程序中有沒有變更Autorun的行為

若是用Regedit觀察根本就是一項超級艱鉅的任務

另一款Systinternals的套裝軟體Autoruns也不夠詳細

所以呢!經過許老師的推薦...我就試了一下Process Monitor

發現它還挺不錯用的雖然不是"視覺派軟體"

但是很管用

Process Monitor可以設定Filter過濾暫不監控的執行程序

或是指定監控登錄檔的異動

下載:http://download.sysinternals.com/Files/ProcessMonitor.zip
官方網站:http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

工具列上有一個很像漏斗的東西,那個就是filter(過濾器)

點下去設定,一開始我是設定path(路徑)在HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

它可以設定很多很多的filter,所以同胞們,不要怕,想要什麼,不要什麼跟他說就對了

007.bmp 

設定好過濾器之後按Add
我的話~為了測試MB的偵測率
所以必須設定MB的偵測目標
包括HKLM及HKCU兩個機組群碼裡重點的登錄執行鍵值:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

arrow
arrow
    全站熱搜

    clin 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄