![[分享]火绒剑简单使用指南](/0.jpg)
[分享]
火绒剑简单使用指南
[复制链接]
轻剑快马
当前离线
含苞待放
积分105金钱
轻剑快马
50601
22
楼主
发表于 2019-1-27 18:32:25
|
只看该作者
|倒序浏览
|阅读模式
电梯直达
本帖最后由 轻剑快马 于 2019-1-27 18:40 编辑
火绒剑是一款很实用的软件监控,分析样本行为的软件。在论坛上我看见有不少朋友想要一份火绒剑的使用教程,我就简单为大家介绍一下这款工具。火绒剑顶部分为了10个选项卡,分别是系统、进程、启动项、内核、钩子扫描、服务、驱动、网络、文件、注册表。由于本人能力有限,也仅仅使用过一部分,我就讲解其中一些的用法。1. 系统 图1-1 系统相关系统这个选项卡在分析样本时是特别常用的,在这下面又分成了过滤、开启监控、清空、导出日志几项。过滤:用于过滤需要监控的信息。开启监控:开启监控后,进程的行为被监控下来显示在界面上。清空:清空界面上监控到的信息。导出日志:把监控的信息以txt的形式导出。
点击过滤,就会出现下图中的日志过滤。 图1-2 日志过滤进程过滤见名知意,过滤进程的相关操作。例如我要监控点击添加按钮,添加用于要监控的软件的路径和软件名。 图1-3 添加进程点击确定,然后开启监控,当我打开和关闭软件时可以看到进程的信息图1-4 进程创建 图1-5 进程销毁从图1-4和图1-5我们可以看到进程创建和进程销毁的事件,其实这个程序只是一个打印helloworld的程序,但是却产生了128个事件,说明有许多关于系统的调用的一些事件,在实际分析样本时也是需要在慢慢进行过滤。路径过滤也是自己添加路径,发生在监控路径下的信息都会显示出来。 图1-6 设置路径过滤点击确定(注意:在监控路径时候先把进程过滤选项去掉) 图1-7 路径过滤信息 动作过滤 图1-8 动作过滤列表 动作过滤分为了六项监控,每一项监控中都又分成了许多小项。这次我就以文件监控中的创建文件为例: 图1-9 设置动作过滤图1-10 创建文件事件其他的监控还有很多,我就不一一演示,如有兴趣,可以自己进行尝试。
2. 进程进程一项类似于任务管理器,但却比任务管理器强大。 图2-1 进程详细信息以qq为例,双击进程,可显示图2-1所示信息。 图2-2 qq加载的系统模块 图2-3 qq加载的自带模块句柄列表和内存列表具体用处我也不知道,这里也就不介绍了。
3. 启动项自启动技术主要有注册表、计划任务、系统服务和快速启动目录。火绒剑中启动项中提取到的启动项也是基于这几种技术,查看启动项可以让我们知道什么程序、服务等设置了自启动,当分析恶意样本时,也可以查看恶意样本是否设置了开机自启动等。火绒剑将启动项的类型分的很细,便于查看 图3-1 启动项4. 服务在windows系统中,有一个服务控制管理器,这个管理器中保存着电脑上所有服务的信息和状态,只要能够操作这个服务控制管理器,就能够得到所有服务的信息和状态,并且能加载、启动、停止、关闭服务。 图4-1 火绒剑和windows自带服务对比火绒剑的服务信息更全,还能快速转到文件、注册表。
5. 网络 图5-1 网络可以查看所有联网程序的一些信息,包括进程id、安全状态、路径、使用的传输层协议、本地地址、远程地址等。
6. 文件 图6-1 文件点开文件,打开C盘,可以看出文件一项显示出了隐藏文件。对之前的PE文件进行提取字符串 图6-2 提取字符串 图6-3 提取到的字符串类似于strings小软件能够提取字符串,也方便分析程序。
7. 注册表 图7-1 注册表火绒剑的注册表和windows系统自带的注册表并无太大区别。
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?[立即注册]
x
评分
参与人数 2金钱 +10
收起
理由
Alexfan
+ 5
为什么你这么给力??
cgx
+ 5
内容超赞!!!
查看全部评分
收藏11
回复
使用道具
举报
光晶降龙
当前离线
星星之火
积分731金钱
光晶降龙
50601
22
沙发
发表于 2019-1-27 22:42:52
|
只看该作者
好的,你辛苦了。
不过,我是个小白,完全看不懂。
回复
使用道具
举报
火绒运营专员
当前离线
官方运营
积分256513金钱
火绒运营专员
50601
22
板凳
发表于 2019-1-28 10:36:54
|
只看该作者
您好,感谢您的解释及备注,谢谢您对火绒的支持
回复
使用道具
举报
轻剑快马
当前离线
含苞待放
积分105金钱
轻剑快马
50601
22
地板
发表于 2019-1-28 13:43:21
|
只看该作者
火绒运营专员 发表于 2019-1-28 10:36
您好,感谢您的解释及备注,谢谢您对火绒的支持
能力有限,写的不太好
点评
wing-summer
这样就很不错了,我感觉再详细就涉及专业知识了,比如PE结构、win系统的程序运作和消息机制。
发表于 2020-6-29 13:37
回复
使用道具
举报
火绒运营专员
当前离线
官方运营
积分256513金钱
火绒运营专员
50601
22
5#
发表于 2019-1-28 14:02:04
|
只看该作者
轻剑快马 发表于 2019-1-28 13:43
能力有限,写的不太好
棒棒的
回复
使用道具
举报
skystars
当前离线
不灭之火
积分16983金钱
skystars
50601
22
6#
发表于 2019-1-30 16:17:27
|
只看该作者
谢谢了
回复
使用道具
举报
glass_view
当前离线
沧海一粟
积分6金钱
glass_view
50601
22
7#
发表于 2019-2-9 02:03:14
|
只看该作者
很不错的应用解说,能够再详细点就好了,怎么发现病毒,木马,等?
回复
使用道具
举报
重庆客运段
当前离线
版主
积分3835金钱
重庆客运段
50601
22
8#
发表于 2019-2-9 12:48:29
|
只看该作者
glass_view 发表于 2019-2-9 02:03
很不错的应用解说,能够再详细点就好了,怎么发现病毒,木马,等?
这个。。。光看火绒剑一般没法知道谁是木马,除非你怀疑某程序是木马,进行行为监控。
回复
使用道具
举报
11992288334
当前离线
沧海一粟
积分6金钱
11992288334
50601
22
9#
发表于 2019-2-17 17:30:23
|
只看该作者
启动项那些可以禁用,我是个电脑小白,(*^__^*) 嘻嘻。
回复
使用道具
举报
liminbz
当前离线
沧海一粟
积分7金钱
liminbz
50601
22
10#
发表于 2019-2-22 16:43:23
|
只看该作者
很好,不错。
回复
使用道具
举报
TK4Moma
当前离线
沧海一粟
积分3金钱
TK4Moma
50601
22
11#
发表于 2019-2-22 17:34:05
|
只看该作者
请问现在还能下载独立的火绒剑吗
回复
使用道具
举报
火绒运营专员
当前离线
官方运营
积分256513金钱
火绒运营专员
50601
22
12#
发表于 2019-2-22 17:35:46
|
只看该作者
TK4Moma 发表于 2019-2-22 17:34
请问现在还能下载独立的火绒剑吗
目前不可以的
回复
使用道具
举报
TK4Moma
当前离线
沧海一粟
积分3金钱
TK4Moma
50601
22
13#
发表于 2019-2-22 17:44:48
|
只看该作者
火绒运营专员 发表于 2019-2-22 17:35
目前不可以的
响应真快
回复
使用道具
举报
一只小白
当前离线
含苞待放
积分174金钱
一只小白
50601
22
14#
发表于 2019-2-23 20:42:04
|
只看该作者
很给力,收藏了。
回复
使用道具
举报
三国志10加强版
当前离线
含苞待放
积分146金钱
三国志10加强版
50601
22
15#
发表于 2019-2-25 10:33:09
|
只看该作者
轻剑快马 发表于 2019-1-28 13:43
能力有限,写的不太好
能力有限,看的不太懂
回复
使用道具
举报