求文件监控程序-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
momoqingyu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	momoqingyu 2 楼试下这个Filemon 2010-12-15 15:32 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 3 楼这个太盲目，早用过了。一整一大堆。 2010-12-15 15:34 0
litsand 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	litsand 4 楼可以设置条件过滤的吧 2010-12-15 16:09 0
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 5 楼难道微软那个东西不行么 2010-12-15 17:18 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 6 楼我理想中的是类似于system safe monitor 那样的HIPS软件，但是SSM只能监控程序执行的行为，不能监控生成的文件（句柄、路径等要素）。非常缺憾。 2010-12-15 20:00 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 7 楼我也需要这样一个工具。 2010-12-16 16:37 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 8 楼期待有人提供这样的监控程序，顺便问一下，如何在恶意文档的shellcode里面查询当前恶意文档的全路径？以前发现是用GetCommandLine，今天突然发现office系列中该函数返回的没有路径。 2010-12-16 20:55 0
ToBeNerd 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ToBeNerd 9 楼设置过滤条件就可以了呀. 2010-12-18 15:12 0
ToBeNerd 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ToBeNerd 10 楼生成的文件只要在创建成功后记录就可以了..用minifilter的话在postcreate操作里就可以拿到啊.文件的路径,大小全部可以拿到 2010-12-18 15:14 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 11 楼也可以用微软的WDK(我用的是60001.18002)中sfilter文件系统过滤驱动框架，我们有个项目就在这个框架上实现了文件的读，写，删除，重命名，新建等文件操作的监控，获取句柄，路经，大小在相应的IRP处理中就可以获取的，这个框架虽然不是最新的，但是做的文件系统监控，还是很方便d的.... 2010-12-20 00:45 0
惊叹号雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	惊叹号 12 楼试下这个procexp，微软工具，更多的实用工具可以从下面链接下载 e61K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2F1k6i4c8Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6*7K9q4)9J5k6r3y4F1i4K6u0r3M7%4W2K6K9h3&6@1k6i4u0F1j5h3I4K6i4K6u0r3j5X3t1#2y4o6f1H3x3U0M7`. 希望对大家有帮助 2010-12-20 12:12 0
FishSeeWater 雪币： 768 活跃值： (585) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 861 粉丝 9 关注私信	FishSeeWater 11 13 楼 Procmon　可以满足楼主的需求 2010-12-20 12:49 0
我本雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	我本 14 楼加分学习努力学习 2010-12-22 08:23 0
scoundrel 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	scoundrel 15 楼学习ing 2011-1-1 09:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
momoqingyu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	momoqingyu 2 楼试下这个Filemon 2010-12-15 15:32 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 3 楼这个太盲目，早用过了。一整一大堆。 2010-12-15 15:34 0
litsand 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	litsand 4 楼可以设置条件过滤的吧 2010-12-15 16:09 0
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 5 楼难道微软那个东西不行么 2010-12-15 17:18 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 6 楼我理想中的是类似于system safe monitor 那样的HIPS软件，但是SSM只能监控程序执行的行为，不能监控生成的文件（句柄、路径等要素）。非常缺憾。 2010-12-15 20:00 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 7 楼我也需要这样一个工具。 2010-12-16 16:37 0
Rolbinal 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	Rolbinal 8 楼期待有人提供这样的监控程序，顺便问一下，如何在恶意文档的shellcode里面查询当前恶意文档的全路径？以前发现是用GetCommandLine，今天突然发现office系列中该函数返回的没有路径。 2010-12-16 20:55 0
ToBeNerd 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ToBeNerd 9 楼设置过滤条件就可以了呀. 2010-12-18 15:12 0
ToBeNerd 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ToBeNerd 10 楼生成的文件只要在创建成功后记录就可以了..用minifilter的话在postcreate操作里就可以拿到啊.文件的路径,大小全部可以拿到 2010-12-18 15:14 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 11 楼也可以用微软的WDK(我用的是60001.18002)中sfilter文件系统过滤驱动框架，我们有个项目就在这个框架上实现了文件的读，写，删除，重命名，新建等文件操作的监控，获取句柄，路经，大小在相应的IRP处理中就可以获取的，这个框架虽然不是最新的，但是做的文件系统监控，还是很方便d的.... 2010-12-20 00:45 0
惊叹号雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	惊叹号 12 楼试下这个procexp，微软工具，更多的实用工具可以从下面链接下载 e61K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2F1k6i4c8Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6*7K9q4)9J5k6r3y4F1i4K6u0r3M7%4W2K6K9h3&6@1k6i4u0F1j5h3I4K6i4K6u0r3j5X3t1#2y4o6f1H3x3U0M7`. 希望对大家有帮助 2010-12-20 12:12 0
FishSeeWater 雪币： 768 活跃值： (585) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 861 粉丝 9 关注私信	FishSeeWater 11 13 楼 Procmon　可以满足楼主的需求 2010-12-20 12:49 0
我本雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	我本 14 楼加分学习努力学习 2010-12-22 08:23 0
scoundrel 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	scoundrel 15 楼学习ing 2011-1-1 09:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复