PCHunter工具和火绒剑比较——后者火绒工具自带，还是更容易获取，和procmon procexp比较看 进程注入的监控明显是火绒剑更合适

今天又认真看了下火绒剑采集的数据，进程注入啥的都是可以采集的：

 

 

 

 

 

 并且winxp上都支持火绒的安装，做得真的是好啊！

另外，针对恶意代码分析实战 lab 12-1的创建远程线程注入方式，我监控了下：

火绒剑报出的关键日志如下：

?

1 2 3 4

11:34:38:656,   explorer.exe,   2744:2156,  0,  THRD_resume,    C:\Documents and Settings\Administrator\桌面\Chapter_12L\Lab12-01.exe,    target_pid:1984 target_tid:3068 ,   0x00000000 [操作成功完成。  ], 11:34:38:734,   Lab12-01.exe,   1984:3068,  1984,   PROC_writevm,   C:\WINDOWS\explorer.exe,    target_pid:2744 base:0x01750000 bytes_written:0x00000104 datalen:0x00000104 data:'43 3A 5C 44 6F 63 75 6D 65 6E 74 73 20 61 6E 64 ' ,   0x00000000 [操作成功完成。  ], 11:34:38:734,   Lab12-01.exe,   1984:3068,  1984,   THRD_remote,    C:\WINDOWS\explorer.exe,    target_pid:2744 target_tid:3064 access:0x001F03FF suspended:true start_vaddr:0x7C801D7B thread_param:0xB0B5FD64 ,   0x00000000 [操作成功完成。  ], 11:34:38:734,   Lab12-01.exe,   1984:3068,  1984,   THRD_resume,    C:\WINDOWS\explorer.exe,    target_pid:2744 target_tid:3064 ,   0x00000000 [操作成功完成。  ],

 看来的确是可以监控进程注入！比procmon和procexp都方便！

 

火绒剑：可以查看一些可疑的进程服务启动项等。

查看进程树：

 

启动项：

 

 

服务：

 

 

网络：

 

 

 

 

 

PCHunter工具。缺点是，windows高版本网络信息，获取不全。比如木马在windows7执行后，该工具可以获取网络信息，如下图。但是同一木马在windows2018执行后，该工具获取不到网络信息。

查看可疑进程：

 

 查看端口开启的进程：

 

 

查看非系统的可疑开机启动项：

 

 

查看可疑的服务：

 

 

查看可疑的定时任务：