利用Sysinternals Suite加强Windows系统管理
2009-04-11 17:47:39 来源:WEB开发网核心提示: 图4是Regmon.exe监控的结果,可以看到config.vbs脚本在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]中添加"system"="wscript.exe C:\w
图4是Regmon.exe监控的结果,可以看到config.vbs脚本在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]中添加
"system"="wscript.exe C:\windows\config.vbs"自启动项目,双击该监控结果可自动运行注册表编辑器并且定位到该注册表项下。这样我们就知道了病毒脚本对注册表的操作,然后删除该键值即可。(图4)
图5是Filemon.exe监控的结果,可以看到该病毒脚本进行了多项操作。通过分析看到其操作有:在每个分区的根目录下创建了config.vbs文件,另外还生成了一个autorun.inf文件及其名为“System Volume Information”的一个快捷方式。此外,在系统C:Windows目录下,
config.vbs脚本对自身进行了备份。分析完成后,我们双击相应的监控项就会进入对于的磁盘路径,然后可删除恶意脚本创建的文件。(图5)
除了可用Regmon.exe、Filemon.exe进行病毒、木马监控了解其运行机制外,这两个工具在软件测试、破解中也非常有用,大家可以挖掘其更多的功用。另外,除了这两个工具外,在Sysinternals Suite还有几个监控工具,Diskmon.exe用于磁盘监控,portmon.exe用于系统中网络端口的监控,Procmon.exe用于进程监控。
4、挑战系统,完成特殊任务
Tags:利用 Sysinternals Suite
编辑录入:爽爽 [复制链接] [打 印]更多精彩
赞助商链接