ProcDot При исследовании работы той или иной программы часто приходится пользоваться такими инструментами, как Process Monitor (Procmon) от Sysinternals для создания логфайлов с событиями, происходящими в системе (обращение к ключу реестра, запись в файл, создание сетевого соединения и т. д.), и WinDump/tcpdump для записи сетевого трафика в PCAP-логи. Информации собирается много, и качественно ее анализировать сложно. Но это было до недавнего времени, а именно до появления ProcDot, который берет собранную информацию от Procmon и WinDump/tcpdump, соотносит ее и представляет в виде графа с помощью графической библиотеки GraphViz. У полученного графа в качестве узлов сущности типа: процесс, поток, файл, ключ реестра и удаленный сервер, а в качестве дуг — действия, такие как: чтение/извлечение/получение, запись/установка/отправка, создание процесса, инъекция, удаление и т. д. При этом узлы и дуги могут отличаться по цвету и по толщине, что несет дополнительную смысловую нагрузку, например, как о жизни данного процесса (работает ли он после остановки Procmon), так и о количестве трафика, потраченного на общение с удаленным сервером. В общем, все, что только может быть полезным при анализе работы процесса. Стоит сказать, что первоначальная цель проекта — это визуализация поведения вредоносного ПО.
Еще одной крутой особенностью проекта является возможность просматривать все произведенные действия процессом в хронологическом порядке в виде мультика с использованием ползунка прокрутки времени.
размер: 4 Мб
http://www.cert.at/downloads/software/procdot_en.html
---------- Reset - не кнопка, а горькая необходимость. |