火绒安全软件

粉丝茶话区
发新帖
打印 上一主题 下一主题

[分享] 火绒剑简单使用指南

[复制链接]
35904 22
楼主
发表于 2019-1-27 18:32:25 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
本帖最后由 轻剑快马 于 2019-1-27 18:40 编辑

火绒剑是一款很实用的软件监控,分析样本行为的软件。在论坛上我看见有不少朋友想要一份火绒剑的使用教程,我就简单为大家介绍一下这款工具。
火绒剑顶部分为了10个选项卡,分别是系统、进程、启动项、内核、钩子扫描、服务、驱动、网络、文件、注册表。
由于本人能力有限,也仅仅使用过一部分,我就讲解其中一些的用法。
1. 系统
                                                                                                
1-1 系统相关
系统这个选项卡在分析样本时是特别常用的,在这下面又分成了过滤、开启监控、清空、导出日志几项。
过滤:用于过滤需要监控的信息。
开启监控:开启监控后,进程的行为被监控下来显示在界面上。
清空:清空界面上监控到的信息。
导出日志:把监控的信息以txt的形式导出。

点击过滤,就会出现下图中的日志过滤。
                                                                                                  
1-2 日志过滤
进程过滤
见名知意,过滤进程的相关操作。
例如我要监控点击添加按钮,添加用于要监控的软件的路径和软件名。
                                                                                                                     
1-3 添加进程
点击确定,然后开启监控,当我打开和关闭软件时可以看到进程的信息
1-4 进程创建
                                                                                                                     
1-5 进程销毁
从图1-4和图1-5我们可以看到进程创建和进程销毁的事件,其实这个程序只是一个打印helloworld的程序,但是却产生了128个事件,说明有许多关于系统的调用的一些事件,在实际分析样本时也是需要在慢慢进行过滤。
路径过滤
也是自己添加路径,发生在监控路径下的信息都会显示出来。
                                                                                                                        
1-6 设置路径过滤
点击确定(注意:在监控路径时候先把进程过滤选项去掉)
                                                                                                                           
1-7 路径过滤信息
动作过滤
                                                                                                                                         
1-8 动作过滤列表
动作过滤分为了六项监控,每一项监控中都又分成了许多小项。这次我就以文件监控中的创建文件为例:
                                                                                                                           
1-9 设置动作过滤
1-10 创建文件事件
其他的监控还有很多,我就不一一演示,如有兴趣,可以自己进行尝试。







2. 进程
进程一项类似于任务管理器,但却比任务管理器强大。
                                                                                                                              
2-1 进程详细信息
qq为例,双击进程,可显示图2-1所示信息。
                                                                                                                                
2-2 qq加载的系统模块
                                                                                                                                    
2-3 qq加载的自带模块
句柄列表和内存列表具体用处我也不知道,这里也就不介绍了。



3. 启动项
自启动技术主要有注册表、计划任务、系统服务和快速启动目录。
火绒剑中启动项中提取到的启动项也是基于这几种技术,查看启动项可以让我们知道什么程序、服务等设置了自启动,当分析恶意样本时,也可以查看恶意样本是否设置了开机自启动等。
火绒剑将启动项的类型分的很细,便于查看
                                                                                                                                
3-1 启动项
4. 服务
windows系统中,有一个服务控制管理器,这个管理器中保存着电脑上所有服务的信息和状态,只要能够操作这个服务控制管理器,就能够得到所有服务的信息和状态,并且能加载、启动、停止、关闭服务。
                                                                                                                           
4-1 火绒剑和windows自带服务对比
火绒剑的服务信息更全,还能快速转到文件、注册表。


5. 网络
                                                                                                                              
5-1 网络
可以查看所有联网程序的一些信息,包括进程id、安全状态、路径、使用的传输层协议、本地地址、远程地址等。






6. 文件
                                                                                                                                    
6-1 文件
点开文件,打开C盘,可以看出文件一项显示出了隐藏文件。
对之前的PE文件进行提取字符串
                                                                                                                                   
6-2 提取字符串
                                                                                                                        
6-3 提取到的字符串
类似于strings小软件能够提取字符串,也方便分析程序。


7. 注册表
                                                                                                                                 
7-1 注册表
火绒剑的注册表和windows系统自带的注册表并无太大区别。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x

评分

参与人数 2金钱 +10 收起 理由
Alexfan + 5 为什么你这么给力??
cgx + 5 内容超赞!!!

查看全部评分

回复

使用道具 举报

35904 22
沙发
发表于 2019-1-27 22:42:52 | 只看该作者
好的,你辛苦了。

不过,我是个小白,完全看不懂。
回复

使用道具 举报

35904 22
板凳
发表于 2019-1-28 10:36:54 | 只看该作者
您好,感谢您的解释及备注,谢谢您对火绒的支持
回复

使用道具 举报

35904 22
地板
发表于 2019-1-28 13:43:21 | 只看该作者
火绒运营专员 发表于 2019-1-28 10:36
您好,感谢您的解释及备注,谢谢您对火绒的支持

能力有限,写的不太好

点评

这样就很不错了,我感觉再详细就涉及专业知识了,比如PE结构、win系统的程序运作和消息机制。  发表于 2020-6-29 13:37
回复

使用道具 举报

35904 22
5#
发表于 2019-1-28 14:02:04 | 只看该作者
轻剑快马 发表于 2019-1-28 13:43
能力有限,写的不太好

棒棒的
回复

使用道具 举报

35904 22
6#
发表于 2019-1-30 16:17:27 | 只看该作者
谢谢了
回复

使用道具 举报

35904 22
7#
发表于 2019-2-9 02:03:14 | 只看该作者
很不错的应用解说,能够再详细点就好了,怎么发现病毒,木马,等?
回复

使用道具 举报

35904 22
8#
发表于 2019-2-9 12:48:29 | 只看该作者
glass_view 发表于 2019-2-9 02:03
很不错的应用解说,能够再详细点就好了,怎么发现病毒,木马,等?

这个。。。光看火绒剑一般没法知道谁是木马,除非你怀疑某程序是木马,进行行为监控。
回复

使用道具 举报

35904 22
9#
发表于 2019-2-17 17:30:23 | 只看该作者
启动项那些可以禁用,我是个电脑小白,(*^__^*) 嘻嘻。
回复

使用道具 举报

35904 22
10#
发表于 2019-2-22 16:43:23 | 只看该作者
很好,不错。
回复

使用道具 举报

35904 22
11#
发表于 2019-2-22 17:34:05 | 只看该作者
请问现在还能下载独立的火绒剑吗
回复

使用道具 举报

35904 22
12#
发表于 2019-2-22 17:35:46 | 只看该作者
TK4Moma 发表于 2019-2-22 17:34
请问现在还能下载独立的火绒剑吗

目前不可以的
回复

使用道具 举报

35904 22
13#
发表于 2019-2-22 17:44:48 | 只看该作者

响应真快
回复

使用道具 举报

35904 22
14#
发表于 2019-2-23 20:42:04 | 只看该作者
很给力,收藏了。
回复

使用道具 举报

35904 22
15#
发表于 2019-2-25 10:33:09 | 只看该作者
轻剑快马 发表于 2019-1-28 13:43
能力有限,写的不太好

能力有限,看的不太懂
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表