火绒剑，监控功能的使用

mind

火绒剑，监控功能的使用

转载自：https://bbs.kafan.cn/thread-1356773-1-1.html

火绒剑和火绒盾是两款完全不同的产品。。盾是提供给广大用户的防御类产品
大家现在主要用它补充现有杀毒软件主防能力【防御未知病毒、木马】及【广告过滤】
而火绒剑是提供给安全行业人员分析软件、木马、病毒行为的工具。他就像医生用的听诊器
X光机，是用来帮助确认、判定病毒、软件的攻击行为的。

下边我简单的拿PPTV软件安装来说明下，使用火绒剑的监控功能能看到PPTV软件具体会做的哪些动作，行为。

1.        下载安装火绒剑（火绒盾已经包含，安装了火绒盾的直接启动）
2.        启动火绒剑，切换到监控页面，点击开始监控按钮
3.        你会看到火绒剑监控页，开始出现很多事件信息（不用管它）
4.        运行PPTV安装包
5.        直接正常操作安装完成
6.        停止火绒剑的监控功能
7.        这个时候监控页里记录了PPTV从安装到，启动时的所有对电脑做的动作信息。
由于动作信息太多，我们可能看不过来。这个时候就可以使用过滤器来。显示
我们“关心”的动作类

8.        选择过滤器的动作过滤（有75个动作可以选择）
动作过滤器如图：

9  我在这里只分别关心 PPTV安装过程中【进程启动、文件修改、注册表修改、网络发送】这4类动作。。并简单分析下。

【进程启动】
如图：

PPTV安装过程会启动很多程序，这里比较有特色的一个启动程序是netsh.exe
这是一个系统工具程序，从图上的命令行就可以看出。。PPTV安装程序通过启动它来为系统防火墙加入一个PPlive.EXE的自动放过策略。

【文件修改】
如图：

PPTV安装过程会生成很多文件，也没什么奇特的。

【注册表修改】
如图：

  PPTV安装过程修改的注册表项都在上图，大家特别注意下：PPAP.exe这个服务程序，它在PPTV安装完，启动后，修改的注册表上图红框处。是个亮点～～～ 当然只是PPTV的程序写的注册表名，叫 “发送用户数据”，到底发送什么用户数据，我没具体分析，留给有兴趣的朋友了。

【网络发送】
如图：

  PPTV安装完后，我没有播放任何视频，它就开始滑滑地～～走网络数据了。图中也有个小亮点～～～红框处，是安装过程中，读取捆绑软件的列表地址【用火绒盾的朋友直接在网址过滤里加了这条，安装PPTV的时候就不会被推荐—软件了】


最后：
好了，这里只是简单的介绍下，火绒剑的监控功能在分析软件对系统做了什么动作时有什么样的作用及过滤器的使用。我们会在官网上陆续完善产品说明，使用教程这些文档。当然想用火绒剑真正分析软件行为，不是软件使用的问题。
这是需要使用它的人有比较专业的系统知识。。