Windows 7 上 CaptureBAT 的替代品?

逆向工程 工具 恶意软件
2021-06-19 14:12:47

我正在处理一些当前仅在 Windows 7 上运行的恶意软件被检测到。我想使用 CaptureBAT,但它在 Windows 7 上不起作用(网络监控除外)。是否有替代方法可以捕获已删除的文件?

我想这也需要在内核级别上工作以进行 API 挂钩。我查看了几个替代方案,包括使用 PowerShell 来监视文件更改(http://dereknewton.com/category/powershell/)以及使用 WMI 进程记录数据,但它们都不是一个很好的解决方案,我想要恶意软件试图删除的所有捕获文件。

有谁知道可以在 Windows 7 上使用的工具吗?

2个回答

捕获 BAT 是开源的为什么不直接为 Windows 7 重建它?

根据我对 Capture BAT 所描述功能的 10 秒浏览,似乎Process Monitor可能是一个可行的替代方案。

这是一种骇人听闻的方法,但有效。

尝试运行 Rohitab API Monitor。这将监视进程创建。如果进程启动,您将收到通知并能够捕获其参数等:)

其它你可能感兴趣的问题
上一篇如何编辑可执行文件的“.data”段? 下一篇如何在 WinDBG 中搜索模块间调用