2024年5月4日发(作者:)

Filemon和regmon工具讲解

一、Filemon和regmon的介绍以及再什么情况下使用

Filemon和regmon分辨是监控进程针对文件以及进程对注册表的操作的两款监控软

件。

可以分辨看出进程对文件或者注册表进行创建或者修改。

在我们平时工作中,主要再以下情况下使用这两款软件:

1、病毒文件删除后反复回写,但是因为某种原因我们无法使用其他软件找到到病毒母

2、病毒样本行为分析、在虚拟机中跑病毒样本,以便查看病毒释放了那些文件、修改

那些 注册表,方便我们对病毒进行了解然后帮用户处理病毒

3、注册表反复回写,比较常见的是:1、通过程序通过注册表修改主页(注1),每

次手动修改主页或者直接修改主页对应的注册表项后关闭重新打开,发现注册表又被修改

成之前的主页;映像劫持(注2)的反复回写,我们通过删除映像劫持的注册表项,以希望

打开杀毒软件或者安全类工具对病毒进行处理,但是删除映像劫持的注册表项后会自动回

写;系统关联项(注3)修复后的反复回写。

4、 病毒反复修改hosts文件(注4)导致域名地址(注5)无法正确解析成ip地址

导致安全类网站或者某些网站无法正常打开。

注1:浏览器主页对应的注册表项一般是:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain中的strat

page这个键值,这个键值中写的内容就是我们平时的ie主页。

注2:印象劫持对应的注册表项:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionImage File Execution Options,在这一项中写入内容,可以阻止应

用程序的正常打开。

注3:系统关联项的注册表:关联项分两个部分HKEY_CLASSES_ROOT下面所有以

“.”开头的注册表项以及正常的注册表项,例如txt的关联项是

HKEY_CLASSES_。“.”后面跟的是文件的扩展名,在键值中表明了对应了下面

txtfile注册表项,而txtfile下面的FriendlyTypeName则标注了.txt的执行方式是由系统

的进行打开的。病毒通过修改系统关联项达到无法打开.exe等执行文件的目

的。在修复的时候可以从正常的计算机导出对应的注册表键值,到有问题的计算机上双击

执行即可修复。

注4:Hosts是一个没有扩展名的系统文件,可以用记事本等工具打开。默认的路径

在C:WINDOWSsystem32driversetc下面。可以通过修改此文件达到对直接再访问域

名的时候把地址本地解析成ip地址而不再通过dns服务器进行解析。

注5:域名地址在网络上是不可以直接访问的,需要使用dns服务器或者本机的dns

缓存解析成ip地址以及通过hosts文件中的内容进行本地解析转化成ip地址才能够正常

访问。