考虑增加一个bootlogging功能 #13
Comments
|
建议增加进程树功能。对应procmon的process tree功能:
其他方面的功能基本已超越 Procmon |
|
进程树、文件列表、注册表列表这些在计划中,因为之前改用分组的方式来实现类似的效果,可以达到更加自由的显示,就推迟了。后续进程树功能会添加上。 bootlogging 这个会考虑,但是估计短期内不会添加,有需要建议还是使用procmon。 |
|
感谢支持,进程树功能已经添加,可以更新到2.4.0版本体验 |
牛逼 暂时测试没问题 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
建议增加一个Procmon的bootlogging功能,对于分析开机引导的恶意程序非常有用。
实现如下:
1、通过GUI写驱动服务自启、写驱动配置(捕获哪些数据、捕获多久/多大后自动停止还是手动停止、记录保存在哪里);
2、重启系统后,驱动根据配置开始捕获数据,并写入记录文件到指定目录(procmon默认在windows目录,后缀为pmb文件);
3、再次运行GUI程序时,检测是否为bootlogging状态(若此时还未重启系统,则不应检测bootlogging状态),是则提示是否停止捕获,并转换记录展示在GUI界面。
The text was updated successfully, but these errors were encountered: