跟踪广告木马新神器 基于系统服务的ProcessMonitor 可在系统启动时开始抓取恶意行为并记录到日志!
使用方法
------------------------------------
- 开超管执行“安装服务.bat”,将创建一个名为PMS的系统服务,用于在开机后立即启动ProcessMonitor在后台(无界面静默)进行系统动作抓取,并保存ProcessMonitor的记录文件,保存的记录文件(*.pml)可随时随地用ProcessMonitor打开查看,日志路径支持共享路径,文件名支持以计算机名命名,详细配置请修改配置文件config.ini.- 捕获到了日志文件如何使用?找一个有ProcessMonitor程序的电脑上,打开日志文件(*.pml)即可,请注意灵活使用过滤器,因为日志内容可能非常庞当。
为什么要创建系统服务来抓取行为?
------------------------------------
- 传统使用ProcessMonitor的方法是直接打开,或加到开机通道,这样做的话,当ProcessMonitor开始抓取时,大多数恶意程序已运行了或已经干完它的事了,所以需要以系统服务的形式来启动ProcessMonitor,这样可最准确、最完整的捕获系统中的进程行为,帮助我们快速精准定位广告、木马来源。
关于ProcessMonitor的作用
-------------------------------------
- Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常有用。 这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。
下载:https://wws.lanzoui.com/iKDOpiofwsh 密码:4as1
链接:https://pan.baidu.com/s/1eJikp7xoE0IsVabmgcTTvw 提取码:9ri3
复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V1的分享
捐助作者支付宝:10531348@qq.com
您的支持不论大小,都是对作者最大的鼓舞!
转自:http://www.clxp.net.cn/thread-6966-1-1.html