PCHunter工具和火绒剑比较

您所在的位置：网站首页 › 火绒剑解除锁定 › PCHunter工具和火绒剑比较

PCHunter工具和火绒剑比较

2023-06-09 00:31| 来源: 网络整理| 查看: 265

今天又认真看了下火绒剑采集的数据，进程注入啥的都是可以采集的：

并且winxp上都支持火绒的安装，做得真的是好啊！

另外，针对恶意代码分析实战 lab 12-1的创建远程线程注入方式，我监控了下：

火绒剑报出的关键日志如下：

11:34:38:656, explorer.exe, 2744:2156, 0, THRD_resume, C:\Documents and Settings\Administrator\桌面\Chapter_12L\Lab12-01.exe, target_pid:1984 target_tid:3068 , 0x00000000 [操作成功完成。 ], 11:34:38:734, Lab12-01.exe, 1984:3068, 1984, PROC_writevm, C:\WINDOWS\explorer.exe, target_pid:2744 base:0x01750000 bytes_written:0x00000104 datalen:0x00000104 data:'43 3A 5C 44 6F 63 75 6D 65 6E 74 73 20 61 6E 64 ' , 0x00000000 [操作成功完成。 ], 11:34:38:734, Lab12-01.exe, 1984:3068, 1984, THRD_remote, C:\WINDOWS\explorer.exe, target_pid:2744 target_tid:3064 access:0x001F03FF suspended:true start_vaddr:0x7C801D7B thread_param:0xB0B5FD64 , 0x00000000 [操作成功完成。 ], 11:34:38:734, Lab12-01.exe, 1984:3068, 1984, THRD_resume, C:\WINDOWS\explorer.exe, target_pid:2744 target_tid:3064 , 0x00000000 [操作成功完成。 ],

看来的确是可以监控进程注入！比procmon和procexp都方便！

火绒剑：可以查看一些可疑的进程服务启动项等。

查看进程树：