这是一个创建于 413 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在已知这个 exe 在本地运行时会创建和删除文件夹和文件。
怎么监控该 exe 程序创建和删除的文件路径及其他信息呢?
并且由于该程序创建和删除的文件是在一瞬间快速删除的,该怎么获取该程序快速删除的文件呢?
试了 process moniter 能监控,但是程序删除的文件找不到。
也试了沙盒,但是找不到被删除的文件,是我使用方式不对吗?
顺便问一下,有什么好用的工具能根据程序抓包的吗?
大部分都是抓取全部的包 需要过滤
怎么监控该 exe 程序创建和删除的文件路径及其他信息呢?
并且由于该程序创建和删除的文件是在一瞬间快速删除的,该怎么获取该程序快速删除的文件呢?
试了 process moniter 能监控,但是程序删除的文件找不到。
也试了沙盒,但是找不到被删除的文件,是我使用方式不对吗?
顺便问一下,有什么好用的工具能根据程序抓包的吗?
大部分都是抓取全部的包 需要过滤
 |
1
daxin945 2024-07-30 17:10:51 +08:00
文件行为监控的话试试 sysmon 吧,或者 osquery
|
 |
2
tool2dx 2024-07-30 17:23:39 +08:00
写个 hook, 屏蔽 DeleteFile 这个 API 。
似乎沙盒默认也能删文件来着,只是不会污染原系统。 |
 |
3
dpx 2024-07-31 11:46:59 +08:00
对应文件夹设置删除权限为拒绝。
|
Select Language