Win7 64位下行为管理捕捉软件WindowsMonitor,捕捉软件行为并记录日志
【特别声明】
1:关于运行工具后出现一个网页问题或会有一个外网IP121.42.77.147的TCP链接
答:是由于程序BUG导致,连接的IP是博客的地址,可以ping www.cnit.net.cn看下。是用来做程序版本信息验证,下次有新版本发布可以及时做到提升用户升级,以及非网维大师环境限制使用功能,并非出现木马后门。
2:工具不带有任何形式的广告增值内容,本身就是一个排查问题的工具,也不推荐广大网友一直使用。
【工具特点】
1:免除安装一些监控软件的麻烦,运行程序后自动在目录下记录日志,静默收集进程创建过程信息。
2:并非驱动级,不会造成客户机蓝屏等情况。
【工具功能及用途】
最近在头疼病毒的事情,如果有此利器将减少我们不少的麻烦。
1:病毒运行情况探测,抓取最原始样本。
2:广告查询3:异常程序查询
【下载地址】
Win7、Win2008 32/64位
下载:https://wws.lanzoui.com/iquzBiod9nc 密码:a7oa
链接:https://pan.baidu.com/s/1IkPxgUwnkWqJ1_OhHbGyRQ 提取码:tlel
复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V1的分享
【日志说明】
[File]为文件操作日志字段
[Process_dll]为程序加载模块字段,Handle为程序PID
[Process_cessexit]为进程退出字段,Handle为程序PID
【更新记录】
2015\03\05
1、优化配置文件采用中文表示
2、优化日志输出进程创建用中文来打印
3、收集客户机基本信息
1、客户机IP地址,系统类别,分辨率等参数信息
4、新增文件监控
1、时时监控文件创建、修改、删除
5、新增dll模块监控
6、新增进程退出监控
2015\01\06
1、将X86跟X64合并一个版本
2、修复因为进程用户权限问题导致父进程路径抓取为空
3、修复64位下MD5计算失败导致程序崩溃问题
4、新增日志上传功能
1、日志打印路径可设置共享路径,例如logpath=//192.168.3.10/14Q2
2、注意事项:这个里面的共享路径结尾最后不要带"/",否则路径会出错
5、新增附件上传功能
1、附件存放路径可设置共享路径,例如logpath=//192.168.3.10/14Q2
2、注意事项:这个里面的共享路径结尾最后不要带"/",否则路径会出错
2015\01\03
1、修复因为程序MD5判断失败导致父进程PID抓取为空
2、新增MD5控制开关
1、默认采取不收集程序MD5信息,如需开启修改程序目录下config文件MD5字段,yes为开启,no为关闭
3、新增获取父进程名并写入日志,弥补出现傀儡程序退出后无法抓取文件
4、新增获取父进程路径并写入日志
5、因为涉及SYSTEM权限问题,程序将分为X86与X64两个版本。不允许夸版本使用。
6、优化配置文件,如果当前配置文件丢失自动释放一份默认的配置文件
2014\12\31
新增了预留配置接口功能
1、新增复制特定目录下的程序
1、目标默认复制执行路径带"\AppData\Local\"下与"\Common Files\"字符串的所有程序
2、预留了可自定义复制特定目录的,例如你复制"只要执行路径带NBMSclient的程序"你可以在config.ini配置文件中加把directory=后面写上\NBMSclient\即可
3、该功能可控制,如果不需要把copy=yes 改成copy=no即可
2、日志打印位置可设置共享与本地磁盘
1、默认为空,就是当前程序目录,你可以写E:\
3、拷贝程序目录可设置共享与本地磁盘
1、默认为空,就是当前程序目录,你可以写E:\
本文转自:http://www.cnit.net.cn/?id=224
其实具体这个软件干嘛用的,聪明的你已经懂了,我今天看到了,转过来。
