Roydon's Note

【ProcDot】 分析工具 - 流程圖

發表於 更新於 分類於 Disqus:
文章字數: 288 所需閱讀時間 ≈ 1 分鐘

前言

ProcDot 工具使用方式紀錄一下。

📝 環境需求

  • WireShark -> 匯出檔案 txt or Pcap
  • ProcMon -> 匯出檔案 CSV
  • Windump -> 需下載
  • Graphviz -> 需下載
  • 官網

1️⃣ 準備好環境

  1. 準備好惡意程式
  2. 打開 WireShark 開始錄製
  3. 打開 ProcMon 開始錄製

準備環境



2️⃣ WireShark


儲存成 txt 檔案


3️⃣ Procmon


確認 Thread ID 是否有勾選


確認儲存為 .CSV檔


4️⃣ ProcDot

  1. 選擇好環境時下載的檔案

Path Setting


  1. 再來選擇剛剛保存的檔案

Procmon、WireShark


  1. 選擇要查看的進程,完成後點選 ReFresh

Launcher


ReFresh


  1. 顯示出流程圖表

流程圖


修改機碼



💡 結論

  • 該惡意程式會修改到 Window NT 的機碼,達到 自動啟動 的效果

🔗 參考來源