regmon和filemon的使用

Filemon和regmon工具讲解一、Filemon和regmon的介绍以及再什么情况下使用Filemon和regmon分辨是监控进程针对文件以及进程对注册表的操作的两款监控软件。可以分辨看出进程对文件或者注册表进行创建或者修改。在我们平时工作中，主要再以下情况下使用这两款软件：1、病毒文件删除后反复回写，但是因为某种原因我们无法使用其他软件找到到病毒母体2、病毒样本行为分析、在虚拟机中跑病毒样本，以便查看病毒释放了那些文件、修改那些注册表，方便我们对病毒进行了解然后帮用户处理病毒3、注册表反复回写，比较常见的是：1、通过程序通过注册表修改主页（注1），每次手动修改主页或者直接修改主页对应的注册表项后关闭重新打开，发现注册表又被修改成之前的主页;映像劫持（注2）的反复回写，我们通过删除映像劫持的注册表项，以希望打开杀毒软件或者安全类工具对病毒进行处理，但是删除映像劫持的注册表项后会自动回写;系统关联项（注3）修复后的反复回写。4、病毒反复修改hosts文件（注4）导致域名地址（注5）无法正确解析成ip地址导致安全类网站或者某些网站无法正常打开。注1：浏览器主页对应的注册表项一般是：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main中的stratpage这个键值，这个键值中写的内容就是我们平时的ie主页。注2：印象劫持对应的注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions，在这一项中写入内容，可以阻止应用程序的正常打开。注3：系统关联项的注册表：关联项分两个部分HKEY_CLASSES_ROOT下面所有以“.”开头的注册表项以及正常的注册表项，例如txt的关联项是HKEY_CLASSES_ROOT\.txt。“.”后面跟的是文件的扩展名，在键值中表明了对应了下面txtfile注册表项，而txtfile下面的FriendlyTypeName则标注了.txt的执行方式是由系统的notepad.exe进行打开的。病毒通过修改系统关联项达到无法打开.exe等执行文件的目的。在修复的时候可以从正常的计算机导出对应的注册表键值，到有问题的计算机上双击执行即可修复。注4：Hosts是一个没有扩展名的系统文件，可以用记事本等工具打开。默认的路径在C:\WINDOWS\system32\drivers\etc下面。可以通过修改此文件达到对直接再访问域名的时候把地址本地解析成ip地址而不再通过dns服务器进行解析。注5：域名地址在网络上是不可以直接访问的，需要使用dns服务器或者本机的dns缓存解析成ip地址以及通过hosts文件中的内容进行本地解析转化成ip地址才能够正常访问。二、Filemon和regmon的使用1.界面介绍：这两款软件的使用界面是一样的，平常使用的三个功能键是捕捉（放大镜图标）、自动滚动（列表图标）、清除（橡皮图标）这三个选项。如下图：这个三个功能分别的作用是：1、捕捉在打开软件之后会自动捕捉进程动作，点击以后变成红叉状态，表示停止捕获进程动作。2、自动滚动点击开启的时候捕获进程的时候将会自动滚动到最新的进程动作上。3、橡皮擦的功能是清除现在的列表在编辑中常用的功能如下图：编辑中的常用功能是包含进程、排除进程、包含路径、排除路径、以及查找功能：1、在选中一条记录以后点击编辑选择包含进程后，列表中就会只显示之前选中记录中包含的进程动作。2、在选中一条记录以后点击编辑选择排除进程，列表中就会删除之前选中记录中包含的进程的所有动作。3、在选中一条记录以后点击编辑选择包含路径，列表中就会只显示之前选中记录中包含的路径的信息。4、在选中一条记录以后点击编辑选择排除路径，列表中就会删除之前选中记录中包含的路径的所有信息。5、查询就是通过字段查询到包含此字段的所有信息。2.filemon的使用。在使用filemon中捕获进程列表的显示效果如下图：在filemon中动作的请求常用的位Open打开、Close关闭、read读取、Create创建、SETinformation修改属性信息（包括路径、属性中的信息、文件名称等）、delete删除、write写入。我们通过上图可以看出当我们选中456.txt的时候进程会有动作，因为是我们自己操作的，所以操作进程是explorer.exe使用技巧：在我们使用filemon中有一些使用技巧，比如我们再监控是那个进程在不停的释放病毒文件的时候我们可以通过查询“Create”这个单词。或者我们如果知道被创建的文件的路径，我们可以直接查询这个路径，再有在抓取日志的时候我们一般把一些应用程序关闭，比如说ie、qq等，以免抓取信息过多导致日志量过大影响分析。实验：可以自己手动创建一个文件，来查看手动创建文件的时候是由那个进程创建的。打开filemon在d盘创建一个456.txt的文件，然后我们再查找中搜索456.txt或者Create，通过查询我们马上就能确认出是explorer这个进程创建的456.txt，如下图：我们再观察一个修改hosts文件的动作，我们先修改了hosts文件之后，先查找路径。如下图：然后选择这条记录点击编辑-包含路径就会显示出所有针对hosts文件的操作，方便我们查看，然后找出写入动作。如下图：通过此图可以看出因为我们用写字板打开的hosts文件进行的修改，所以在filemon中是wordpad.exe对hosts文件进行了修改，在文件中写入内容。3.regmon的使用Regmon常用的请求openkey打开注册表、closekey关闭注册表、QueryValue查询注册表、SetValue修改注册表项、deletevalue删除注册表项、createkey创建键值。Regmon的使用技巧和filemon类似，我们通过ie本身的设置中修改主页，然后我们通过regmon进行查看，可以看到iexplore.exe这个进程对HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main中的stratpage这个键值进行了修改，修改内容是我们修改成的主页。如下图：三、病毒实验在我们的病毒实验中有一个sizhu的病毒样本实验，在这个实验中我们通过实验文档知道，这个病毒会通过映像劫持阻止杀毒软件的运行，但是删除映像劫持的注册表后，注册表会反复回写，结束掉病毒执行起来的svchost.exe，删除c:\sizhu.exe即可解决。但是其实我们通过工具是看不到sizhu.exe，有可能是这个进程通过系统的svchost启动，所以无法找到病毒主体，所以如果我们不看文档，或者是这个文件更换一个位置，我们就找不到病毒主体，无法处理了。如图：通过此图我们无法看到有问题的进程。但是我们通过regmon可以观察到是pid为3376的svchost.exe对注册表进行的回写。如下图:再之后我们通过filemon观察到这个pid为3376的svchost.exe会读取一个叫sizhu.exe的进程和autorun.inf的配置文件，如下图：我们确定pid为3376的svchost.exe是被病毒利用启动的，使用procexp可以观察，如下图：使用procexp通过查看这个进程的属性，然后结束此进程，重新删除映像劫持的注册表发现不在回写。然后我们发现无法正常显示隐藏文件，通过修复注册表的方式显示文件之后，全盘搜索sizhu.exe，发现在c盘根目录下。因为映像劫持已经删除，可以打开强删工具通过强删工具删除。最后删除利用启动的注册表项。在注册表中搜索之前pid为3376的svchost.exe显示的启动位置即可,在服务中删除对应的服务。最后在使用其他procexp以及pchunter等工具检查一遍是否有其他可疑的dll、sys等文件，有的话删除即可，因为病毒主体已经解决，其他的文件简单做删除即可。以上便是利用regmon以及filemon确定病毒文件，对病毒进行处理的实例，熟练使用这两个工具可以再之后处理绝大多数类似的病毒或者变种的时候也能准确的找到病毒的主体文件或者进程，而不只是看过一个病毒实验的文档然后只会处理这个病毒，一但病毒变种或者改变病毒文件的路径就无法再找到病毒样本。