您可能之前看到過我寫的類似文章，為什么還要重復(fù)撰寫呢？只是想更好地幫助初學(xué)者了解病毒逆向分析和系統(tǒng)安全，更加成體系且不破壞之前的系列。因此，我重新開設(shè)了這個專欄，準(zhǔn)備系統(tǒng)整理和深入學(xué)習(xí)系統(tǒng)安全、逆向分析和惡意代碼檢測，“系統(tǒng)安全”系列文章會更加聚焦，更加系統(tǒng)，更加深入，也是作者的慢慢成長史。換專業(yè)確實挺難的，逆向分析也是塊硬骨頭，但我也試試，看看自己未來四年究竟能將它學(xué)到什么程度，漫漫長征路，偏向虎山行。享受過程，一起加油~

前文嘗試了軟件來源分析，結(jié)合APT攻擊中常見的判斷方法，利用Python調(diào)用擴展包進行溯源，但也存在局限性。本文將分享Procmon軟件基本用法及文件進程、注冊表查看，這是一款微軟推薦的系統(tǒng)監(jiān)視工具，功能非常強大可用來檢測惡意軟件?；A(chǔ)性文章，希望對您有所幫助~

作者作為網(wǎng)絡(luò)安全的小白，分享一些自學(xué)基礎(chǔ)教程給大家，主要是在線筆記，希望您們喜歡。同時，更希望您能與我一起操作和進步，后續(xù)將深入學(xué)習(xí)網(wǎng)絡(luò)安全和系統(tǒng)安全知識并分享相關(guān)實驗?？傊?，希望該系列文章對博友有所幫助，寫文不易，大神們不喜勿噴，謝謝！如果文章對您有幫助，將是我創(chuàng)作的最大動力，點贊、評論、私聊均可，一起加油喔！

作者的github資源：

• 逆向分析：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
• 網(wǎng)絡(luò)安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

從2019年7月開始，我來到了一個陌生的專業(yè)——網(wǎng)絡(luò)空間安全。初入安全領(lǐng)域，是非常痛苦和難受的，要學(xué)的東西太多、涉及面太廣，但好在自己通過分享100篇“網(wǎng)絡(luò)安全自學(xué)”系列文章，艱難前行著。感恩這一年相識、相知、相趣的安全大佬和朋友們，如果寫得不好或不足之處，還請大家海涵！

接下來我將開啟新的安全系列，叫“系統(tǒng)安全”，也是免費的100篇文章，作者將更加深入的去研究惡意樣本分析、逆向分析、內(nèi)網(wǎng)滲透、網(wǎng)絡(luò)攻防實戰(zhàn)等，也將通過在線筆記和實踐操作的形式分享與博友們學(xué)習(xí)，希望能與您一起進步，加油~

• 推薦前文：網(wǎng)絡(luò)安全自學(xué)篇系列-100篇

前文分析：

• [系統(tǒng)安全] 一.什么是逆向分析、逆向分析基礎(chǔ)及經(jīng)典掃雷游戲逆向
• [系統(tǒng)安全] 二.如何學(xué)好逆向分析及呂布傳游戲逆向案例
• [系統(tǒng)安全] 三.IDA Pro反匯編工具初識及逆向工程解密實戰(zhàn)
• [系統(tǒng)安全] 四.OllyDbg動態(tài)分析工具基礎(chǔ)用法及Crakeme逆向
• [系統(tǒng)安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大戰(zhàn)僵尸游戲
• [系統(tǒng)安全] 六.逆向分析之條件語句和循環(huán)語句源碼還原及流程控制
• [系統(tǒng)安全] 七.逆向分析之PE病毒原理、C++實現(xiàn)文件加解密及OllyDbg逆向
• [系統(tǒng)安全] 八.Windows漏洞利用之CVE-2019-0708復(fù)現(xiàn)及藍(lán)屏攻擊
• [系統(tǒng)安全] 九.Windows漏洞利用之MS08-067遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)及深度提權(quán)
• [系統(tǒng)安全] 十.Windows漏洞利用之SMBv3服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-0796）復(fù)現(xiàn)
• [系統(tǒng)安全] 十一.那些年的熊貓燒香及PE病毒行為機理分析
• [系統(tǒng)安全] 十二.熊貓燒香病毒IDA和OD逆向分析（上）病毒初始化
• [系統(tǒng)安全] 十三.熊貓燒香病毒IDA和OD逆向分析（中）病毒釋放機理
• [系統(tǒng)安全] 十四.熊貓燒香病毒IDA和OD逆向分析–病毒釋放過程（下）
• [系統(tǒng)安全] 十五.Chrome瀏覽器保留密碼功能滲透解析、藍(lán)屏漏洞及某音樂軟件漏洞復(fù)現(xiàn)
• [系統(tǒng)安全] 十六.PE文件逆向基礎(chǔ)知識(PE解析、PE編輯工具和PE修改)
• [系統(tǒng)安全] 十七.Windows PE病毒概念、分類及感染方式詳解
• [系統(tǒng)安全] 十八.病毒攻防機理及WinRAR惡意劫持漏洞(腳本病毒、自啟動、定時關(guān)機、藍(lán)屏攻擊)
• [系統(tǒng)安全] 十九.宏病毒之入門基礎(chǔ)、防御措施、自發(fā)郵件及APT28宏樣本分析
• [系統(tǒng)安全] 二十.PE數(shù)字簽名之(上)什么是數(shù)字簽名及Signtool簽名工具詳解
• [系統(tǒng)安全] 二十一.PE數(shù)字簽名之(中)Signcode、PEView、010Editor、Asn1View工具用法
• [系統(tǒng)安全] 二十二.PE數(shù)字簽名之(下)微軟證書漏洞CVE-2020-0601復(fù)現(xiàn)及Windows驗證機制分析
• [系統(tǒng)安全] 二十三.逆向分析之OllyDbg動態(tài)調(diào)試復(fù)習(xí)及TraceMe案例分析
• [系統(tǒng)安全] 二十四.逆向分析之OllyDbg調(diào)試INT3斷點、反調(diào)試、硬件斷點與內(nèi)存斷點
• [系統(tǒng)安全] 二十五.WannaCry勒索病毒分析 (1)Python復(fù)現(xiàn)永恒之藍(lán)漏洞實現(xiàn)勒索加密
• [系統(tǒng)安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及病毒解析
• [系統(tǒng)安全] 二十七.WannaCry勒索病毒分析 (3)蠕蟲傳播機制解析及IDA和OD逆向
• [系統(tǒng)安全] 二十八.WannaCry勒索病毒分析 (4)全網(wǎng)"最"詳細(xì)的蠕蟲傳播機制解讀
• [系統(tǒng)安全] 二十九.深信服分享之外部威脅防護和勒索病毒對抗
• [系統(tǒng)安全] 三十.CS逆向分析 (1)你的游戲子彈用完了嗎？Cheat Engine工具入門普及
• [系統(tǒng)安全] 三十一.惡意代碼檢測(1)惡意代碼攻擊溯源及惡意樣本分析
• [系統(tǒng)安全] 三十二.惡意代碼檢測(2)常用技術(shù)詳解及總結(jié)
• [系統(tǒng)安全] 三十三.惡意代碼檢測(3)基于機器學(xué)習(xí)的惡意代碼檢測技術(shù)
• [系統(tǒng)安全] 三十四.惡意代碼檢測(4)編寫代碼自動提取IAT表、字符串及時間戳溯源地區(qū)
• [系統(tǒng)安全] 三十五.Procmon工具基本用法及文件進程、注冊表查看

聲明：本人堅決反對利用教學(xué)方法進行犯罪的行為，一切犯罪行為必將受到嚴(yán)懲，綠色網(wǎng)絡(luò)需要我們共同維護，更推薦大家了解它們背后的原理，更好地進行防護。

一.Process Monitor

1.基本介紹

Process Monitor是微軟推薦的一款系統(tǒng)監(jiān)視工具，能夠?qū)崟r顯示文件系統(tǒng)、注冊表（讀寫）、網(wǎng)絡(luò)連接與進程活動的高級工具。它整合了舊的Sysinternals工具、Filemon與Regmon，其中Filemon專門用來監(jiān)視系統(tǒng)中的任何文件操作過程，Regmon用來監(jiān)視注冊表的讀寫操作過程。

• Filemon：文件監(jiān)視器
• Regmon：注冊表監(jiān)視器

同時，Process Monitor增加了進程ID、用戶、進程可靠度等監(jiān)視項，可以記錄到文件中。它的強大功能足以使Process Monitor成為您系統(tǒng)中的核心組件以及病毒探測工具。

Process?Monitor可以幫助使用者對系統(tǒng)中的任何文件、注冊表操作進行監(jiān)視和記錄，通過注冊表和文件讀寫的變化，有效幫助診斷系統(tǒng)故障或發(fā)現(xiàn)惡意軟件、病毒及木馬。

Github下載地址：https://github.com/eastmountyxz/Security-Software-Based
CSDN下載鏈接：https://download.csdn.net/download/lxiao428/10711509

2.使用場景

運行Process Monitor建議使用管理員模式，當(dāng)你啟動Process Monitor后，它就開始監(jiān)聽三類操作，包括：文件系統(tǒng)、注冊表、進程。

• 文件系統(tǒng)
  Process Monitor顯示所有的Windows文件系統(tǒng)活動，包括本地磁盤和遠(yuǎn)程文件系統(tǒng)。它會自動探測到新的文件系統(tǒng)設(shè)備并監(jiān)聽它們。所有的系統(tǒng)路徑都會被顯示為相對于在用戶會話中的一個文件系統(tǒng)操作的執(zhí)行。想在列表中清除文件系統(tǒng)的操作，在Process Monitor工具欄上反選“文件系統(tǒng)”按鈕，再按下可以增加對文件系統(tǒng)的監(jiān)聽。
• 注冊表
  Process Monitor記錄所有的注冊表操作并顯示使用常見的注冊表根鍵縮寫來顯示注冊表路徑（如HEKY_LOCAL_MACHINE 縮寫為HKLM）。想在列表中清除注冊表的操作，在Process Monitor工具欄上反選“注冊表”按鈕，再次按下可以增加對注冊表的監(jiān)聽。
• 進程
  在Process Monitor的進程/線程監(jiān)聽子系統(tǒng)中，它將跟蹤所有進程/線程的創(chuàng)建和退出操作，包括DLL和設(shè)備驅(qū)動程序的加載操作。想在列表中清除進程的操作，在Process Monitor工具欄上反選“進程”按鈕，再次按下可以增加對進程的監(jiān)聽。
• 網(wǎng)絡(luò)
  Process Monitor使用“Windows事件跟蹤(ETW)”來跟蹤并記錄TCP和UDP活動。每個網(wǎng)絡(luò)操作包括源地址和目標(biāo)地址，還有發(fā)送和接受到的一些數(shù)量的數(shù)據(jù)，但不包括真實的數(shù)據(jù)。想在列表中清除網(wǎng)絡(luò)的操作，在Process Monitor工具欄上反選“網(wǎng)絡(luò)”按鈕，再次按下可以增加對網(wǎng)絡(luò)的監(jiān)聽。
• 性能分析
  這個事件類可以在“選項”菜單中啟用。當(dāng)處于“啟用”狀態(tài)，Process Monitor掃描系統(tǒng)中所有活動的線程并為每個線程生成一個性能分析事件，記錄了內(nèi)核模式和用戶模式的CPU時間消耗，還有許多在上個性能分析事件后已被線程執(zhí)行的環(huán)境開關(guān)。

3.新聞事件

關(guān)于Procmon軟件的傳聞：曾經(jīng)360隱私保護器曝出騰訊“窺私門”事件。當(dāng)年的QQ聊天工具在暗中密集掃描電腦硬盤、窺視用戶的隱私文件，另兩款聊天工具MSN和阿里旺旺則沒有類似行為。隨即有網(wǎng)友曝料稱，早有人通過微軟Procmon（進程監(jiān)視工具）發(fā)現(xiàn)QQ窺私的秘密。

據(jù)悉，微軟這款Windows系統(tǒng)進程監(jiān)視工具Procmon，通過對系統(tǒng)中的任何文件和注冊表操作進行監(jiān)視和記錄，也能幫助用戶判斷軟件是否存在“越軌”行為。與360隱私保護器相比，Procmon采用了類似的原理，但是監(jiān)測對象更廣泛，適合具備一定電腦知識的用戶使用。

Procmon監(jiān)測記錄表明，當(dāng)時的QQ會自動訪問許多與聊天無關(guān)的程序和文檔，例如“我的文檔”等敏感位置，上網(wǎng)記錄等。隨后，QQ還會產(chǎn)生大量網(wǎng)絡(luò)通訊，很可能是將數(shù)據(jù)上傳到騰訊服務(wù)器。短短10分鐘內(nèi)，它訪問的無關(guān)文件和網(wǎng)絡(luò)通訊數(shù)量多達(dá)近萬項！正常的聊天工具行為是只訪問自身文件和必要的系統(tǒng)文件。

二.Procmon分析可執(zhí)行文件

1.常見用法

下載Procmon.exe軟件后，直接雙擊啟動，Procmon會自動掃描分析系統(tǒng)當(dāng)前程序的運行情況。其中，下圖框出來的4個常用按鈕作用分別為：捕獲開關(guān)、清屏、設(shè)置過濾條件、查找。最后5個并排的按鈕，是用來設(shè)置捕獲哪些類型的事件，分別表示注冊表的讀寫、文件的讀寫、網(wǎng)絡(luò)的連接、進程和線程的調(diào)用和配置事件。一般選擇前面2個，分別為注冊表和文件操作。

輸出結(jié)果中包括序號、時間點、進程名稱、PID、操作、路徑、結(jié)果、描述等，監(jiān)控項通常包括：

• 文件系統(tǒng)
• 注冊表
• 進程：跟蹤所有進程和線程的創(chuàng)建和退出操作
• 剖析事件：掃描系統(tǒng)中所有活動線程，為每個線程創(chuàng)建一個剖析事件，記錄它耗費的核心和用戶CPU時間，以及該線程自上次剖析事件以來執(zhí)行了多少次上下文轉(zhuǎn)換

為了更好地定制選擇，可以在過濾器中進行設(shè)置（見上圖），也可以在Options菜單中選擇Select Columns選項，然后通過彈出的列選擇對話框來定制列的顯示。常用列的選擇包括：

• Application Details
  – Process Name：產(chǎn)生事件的那個進程的名字
  – Image Path：進程鏡像的完整路徑
  – Command Line：命令行，用于啟動進程
  – Company Name：進程鏡像文件中的企業(yè)名稱。這個文本是由應(yīng)用程序的開發(fā)者來定義的
  – Description：進程鏡像文件中的產(chǎn)品描述信息。這個文本是由應(yīng)用程序的開發(fā)者定義的
  – Version：進程鏡像文件中的產(chǎn)品版本號。這個文本是由應(yīng)用程序的開發(fā)者定義的

• Event Details
  – Sequence Number：操作在全體事件中的相對位置，也包括當(dāng)前的過濾
  – Event Class：事件的類別（文件，注冊表，進程）
  – Operation：特殊事件操作，比如Read、RegQueryValue等
  – Date & Time：操作的日期和時間
  – Time of Day：只是操作的時間
  – Path：一個事件引用資源的路徑
  – Detail：事件的附加信息
  – Result：一個完成了的操作的狀態(tài)碼
  – Relative Time：一個操作相對于Process Monitor的啟動后的時間，或者相對于Process Monitor的信息清除后的時間
  – Duration：一個已經(jīng)完成了的操作所持續(xù)的時間

• Process Management
  – User Name：正在執(zhí)行操作的進程的用戶賬戶名
  – Session ID：正在執(zhí)行操作的進程的Windows會話ID
  – Authentication ID：正在執(zhí)行操作的進程的登錄會話ID
  – Process ID：執(zhí)行了操作的進程的進程ID
  – Thread ID：執(zhí)行了操作的線程的線程ID
  – Integrity Level：正在運行的進程執(zhí)行操作時的可信級別（僅支持Vista以上系統(tǒng)）
  – Virtualized：執(zhí)行了操作的進程的虛擬化狀態(tài)

2.實例分析

下面我們采用分析開機自啟動的某個“hi.exe”程序。注意，作者之前第36篇文章CVE漏洞復(fù)現(xiàn)文章中，將“hi.exe”惡意加載至自啟動目錄，這里分析它。

C:/Users/xxxx/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

第一步，設(shè)置過濾器。
打開軟件Process Moniter，并點擊filter->filter。

在彈出的對話框中Architecture下拉框，選擇Process Name填寫要分析的應(yīng)用程序名字，點擊Add添加，最后點擊右下角的Apply。

第二步，執(zhí)行被分析的應(yīng)用。
雙擊應(yīng)用程序會彈出“計算器”。

可以看到Process Mointor監(jiān)控到應(yīng)用的行為。

第三步，查看可執(zhí)行文件的位置。
點擊查找按鈕，然后輸入“CreateFile”。

找到該選項之后，我們右鍵點擊“Jump To”。

我們可以去到該文件所在的文件夾下，即：

Win 7/10：C:/Users/xxxx/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

Win XP：C:/Documents and Settings/Administrator/「開始」菜單/程序/啟動

第四步，查看注冊表選項。
查尋文件“RegSetValue”。

右鍵選擇jump to跳轉(zhuǎn)到注冊表。

可以看到注冊表的內(nèi)容，如果自啟動還能看到相關(guān)鍵對的設(shè)置。

Windows自動重啟運行的程序可以注冊在下列任一注冊表的位置。

• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
• HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
• HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

三.Promon分析壓縮包

接著我們分析該壓縮包。

第一步，過濾器設(shè)置。
打開軟件Process Moniter，并點擊filter->filter。在彈出的對話框中Architecture下拉框，選擇Process Name填寫要分析的應(yīng)用程序名字，點擊Add添加、Apply應(yīng)用。注意，也可以增加其他過濾規(guī)則。

第二步，打開壓縮包及某個文件。
未打開壓縮包前運行結(jié)果如下圖所示：

打開該壓縮包中的“2020-02-22-china.csv”文件，這是作者Python大數(shù)據(jù)分析武漢疫情的開源代碼，也推薦感興趣的讀者閱讀。

Procmon顯示了與WinRAR相關(guān)的操作，如下圖所示。我們可以查看運行的進程、注冊表等信息。

第三步，查詢“china.csv”相關(guān)的文件。

可以看到臨時文件，其路徑為：

C:/Users/xxxx/AppData/Local/Temp/Rar$DIa14092.24700

第四步，右鍵點擊“Jump To”跳轉(zhuǎn)查看文件。

跟蹤這個目錄，在C盤對應(yīng)目錄下找到了這個文件，打開之后和本來打開的文件內(nèi)容相同。

AppData/Local/Temp
它是電腦Windows系統(tǒng)臨時存儲的文件夾，會把瀏覽者瀏覽過的網(wǎng)站或者其它記錄保存在這里。如果下次打開相應(yīng)的地址，電腦會更快提取文件，甚至在沒有網(wǎng)絡(luò)時也能查看到。這是不安全的，你保密的文件文件也可能存在該位置，建議及時刪除。

第五步，WinRAR壓縮包內(nèi)文件直接打開后，有兩種關(guān)閉方式：先關(guān)閉打開的文件，再關(guān)閉打開的壓縮包。另外一種方式是先關(guān)閉打開的壓縮包，再關(guān)閉打開的文件。建議大家利用Process Moniter分析上述兩種方式的不同點。

打開壓縮包時加載的文件個數(shù)如下圖所示。

先關(guān)閉word文件，再關(guān)閉winrar。注意，關(guān)閉word文件后，Process Monitor監(jiān)測到了事件；再關(guān)閉winrar，Process Monitor也監(jiān)測到了事件。

這僅是一篇基礎(chǔ)性用法文章，更多實例作者希望深入學(xué)習(xí)后分享出來。比如監(jiān)控某個目錄下文件的創(chuàng)建、修改、刪除、訪問操作，從而保存日志為文件，以便日后分析。

• WriteFile：寫操作，依照文件大小可能產(chǎn)生多條
• ReadFile：讀操作，一次讀會產(chǎn)生很多條
• SetAllocationInformationFile：改寫文件時觸發(fā)
• SetEndOfFileInformationFile：改寫文件時觸發(fā)
• SetRenameInformationFile：重命名時觸發(fā)
• SetDispositionInformationFile：刪除文件時觸發(fā)

四.總結(jié)

寫到這里，這篇文章就介紹完畢，主要包括三部分內(nèi)容：

• Procmon軟件介紹
• Procmon分析可執(zhí)行文件
• Procmon分析壓縮包文件加載項，包括進程和注冊表

接下來，作者將采用該工具在虛擬機中分析惡意樣本，涉及知識點包括：

• 文件活動行為分析：Procmon監(jiān)控木馬客戶端的文件行為
• 注冊表活動行為分析：Procmon監(jiān)控木馬客戶端的注冊表設(shè)置值行為
• 網(wǎng)絡(luò)活動行為分析：Wireshark監(jiān)控網(wǎng)絡(luò)行為、TCP三次握手連接、被控端與控制端之間的通信過程

希望這系列文章對您有所幫助，真的感覺自己技術(shù)好菜，要學(xué)的知識好多。這是第49篇原創(chuàng)的安全系列文章，從網(wǎng)絡(luò)安全到系統(tǒng)安全，從木馬病毒到后門劫持，從惡意代碼到溯源分析，從滲透工具到二進制工具，還有Python安全、頂會論文、黑客比賽和漏洞分享。未知攻焉知防，人生漫漫其路遠(yuǎn)兮，作為初學(xué)者，自己真是爬著前行，感謝很多人的幫助，繼續(xù)爬著，繼續(xù)加油！

歡迎大家討論，是否覺得這系列文章幫助到您！如果存在不足之處，還請海涵。任何建議都可以評論告知讀者，共勉~

武漢加油！湖北加油！中國加油?。。?/p>

(By:Eastmount 2021-02-26 晚上12點寫于貴陽 http://blog.csdn.net/eastmount )

參考文獻(xiàn)：
[1] 《軟件安全》實驗之惡意樣本行為分析
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] Process Monitor分析某個應(yīng)用行為 - cui0x01
[4] https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
[5] https://wenku.baidu.com/view/aaf324150b4e767f5acfcec4.html
[6] Process Monitor中文手冊 - D_R_L_T
[7] ProcessMonitor文件以及注冊表監(jiān)視器的使用 - Amrecs
[8] Process Monitor監(jiān)控目錄 - 監(jiān)控文件被哪個進程操作了 - kendyhj9999