process Explorer报告的异常巨大的进程虚拟内存大小 - 腾讯云开发者社区

文章/答案/技术大牛

发布

Efimer木马的攻击机制分析与企业防御体系构建

本文基于公开技术报告与逆向工程分析，系统解构Efimer的传播路径、载荷结构、C2通信机制及逃避检测策略。...针对此类威胁，本文提出一套融合邮件网关强化、终端行为监控、网络流量异常检测与安全意识培训的纵深防御框架，并提供可部署的代码示例，包括基于YARA规则的附件扫描脚本、DNS请求异常检测模型及自动化沙箱触发逻辑...3.3 反分析与持久化技术为逃避检测，Efimer采用多项技术：反虚拟机检测：检查CPU核心数、内存大小、是否存在VMware/VirtualBox特征字符串；进程注入：将主模块注入explorer.exe...以下PowerShell脚本可定期扫描explorer.exe的子进程：$explorer = Get-WmiObject Win32_Process -Filter "Name='explorer.exe...'"foreach ($proc in $explorer) {$children = Get-CimInstance Win32_Process -Filter "ParentProcessId=$(

3191 0

window 查找 java 进程中占用cpu比较高的线程

概述公司内部的一个产品（java 开发的）运行在 window 虚拟机上，运行一段时间后CPU飙升，然后想查看是哪个线程占用。折腾了一下午，终于定位到该线程。...下面我们通过两种方式定位到占用cpu比较高的线程。使用Process Explorer，第三方工具定位，使用比较简单，容易上手。...Process Explorer 使用第一步：获得该程序的进程ID ?...通过 jps 可以查看到我们运行的程序的进程号为 “11964” 第二步：打开Process Explorer工具下面我们通过 Process Explorer 工具进行查看该进程中所有的线程...第三步：查找进程号为“11964”的进程通过 jps 命令查看的进程号为 “11964”。然后在 Process Explorer中找到该进程。

2.4K9 0

您找到你想要的搜索结果了吗？

是的

没有找到

084_数字取证进阶：内存转储与实时分析技术实战指南——从内存获取到恶意代码检测的全面解析

程序代码和数据堆内存(Heap) 栈内存(Stack) 共享库和动态链接关键内存数据结构：进程控制块(Process Control Block)：包含进程的状态信息进程ID、父进程...主要内存转储类型：完整内存转储(Full Memory Dump)：捕获整个物理内存包含所有进程和内核数据数据量大，通常为系统物理内存大小提供最全面的分析视图内核内存转储(Kernel...$process = Get-Process explorer $file = [System.IO.File]::Create("C:\evidence\explorer.dmp") [MiniDump...组合方法建议：先进行系统概览（info/pslist），随后进行重点进程转储与IOC匹配，最后进行报告归档。...流程建议：选择性转储高风险进程（浏览器、Office、远程工具）；使用malfind/dlllist/handles 交叉验证注入与模块异常； netscan/connscan 识别异常外联与长连接

3811 0

如何查看系统资源的实时占用情况？

查看以下资源的实时图表：CPU：显示当前的使用率和频率。内存：显示已用和可用的内存。磁盘：显示读写速度。网络：显示上传和下载速度。切换到“进程”选项卡，按资源占用排序，找出异常进程。2....切换到“CPU”、“内存”、“磁盘”或“网络”选项卡，查看具体进程的资源占用。右键点击异常进程，可以选择“结束进程”或“挂起进程”。3. 使用性能监视器性能监视器可以监控特定的性能计数器，并生成报告。...CPU最高的10个进程及其内存使用情况。...使用Process Explorer下载并运行 Process Explorer 。查看每个进程的详细资源占用情况，包括句柄、线程和I/O活动。6....生成性能报告通过命令行工具生成系统性能报告，分析资源占用趋势。生成电源效率报告powercfg /energy该命令会生成一份HTML格式的电源效率报告，帮助您发现潜在问题。

3.2K1 0

【安全】记录钓鱼邮件中木马病毒的分析溯源

2、VMware开个虚拟机，试试看允许有什么效果。注意千万别在你的真实系统上运行这个病毒，因为根本不知道他植入了什么东西，很难排查的。实测效果是，双击完看不到任何反应。...**安全机制**：包含安全cookie的初始化和检查，用于防止缓冲区溢出等安全问题。 3. **异常处理**：实现了异常处理机制，包括异常过滤、安全失败报告等。 4....- `___report_gsfailure`：处理安全失败，终止进程。 - **异常处理**： - `__except_handler4`：异常处理函数，用于处理dll中的异常。...- **进程和线程管理**： - `dllmain_crt_process_attach`：处理进程的初始化，包括初始化CRT、获取启动锁、初始化异常处理等。...- `dllmain_crt_process_detach`：处理进程的清理，包括释放资源、清理异常处理等。

7071 0

进程管理工具推荐,进程管理工具是用于监控、控制和管理计算机系统中进程运行状态的软件工具

以下为你详细介绍进程管理工具的相关内容：下载地址点击获取：Process Explorerv17.06汉化32/64位单文件版，双击就可以直接使用了Process Explorer是一款由微软Sysinternals...第三方进程管理工具Process Explorer（Windows）特点：微软官方提供的增强版任务管理器，可显示进程关联的文件、注册表项和句柄，帮助定位程序崩溃或资源占用问题。...故障排查与调试场景：程序无响应或崩溃时，通过进程工具查看进程状态（如“未响应”），强制结束进程；或分析进程日志（如Process Explorer的堆栈跟踪）定位代码问题。...安全与恶意软件检测场景：检查是否存在异常进程（如名称伪装的病毒程序、隐藏的挖矿进程），通过进程路径、资源占用模式判断安全性（如陌生进程占用大量网络带宽）。...五、延伸：进程管理与容器/虚拟化在容器化场景中（如Docker/Kubernetes），进程管理工具进化为容器监控工具，例如：Docker stats：查看容器内进程的CPU、内存、网络占用。

1.2K1 0

利用驱动人生升级通道传播的木马手工查杀记

注：文中环境是根据捕获的样本复现的场景，该虚拟机处于联网状态。.../process-explorer 二、手工查杀 2.1 分析现象受害主机，主要有以下现象： 1、开机后自动关机： ?...异常进程的PID为14600，在Process Explorer中找到该PID对应的进程并结束。 ?...删除该计划任务，然后删除wmiex.exe,无法删除，说明有进程占用。 ? 利用Process explorer查看： ? 关闭进程后，成功删除： ? 此时主机仍有大量外连行为， ?...三、总结本次手工查杀病毒过程如下： 1、使用TCPView查看异常外连行为对应的PID. 2、在Process Exploer中，找到PID对应的进程程序所在位置并关闭该进程。

2.5K1 0

一则邮件攻击样本分析分享

二、攻击邮件的捕获与分析近日，中兴高级邮件防御系统捕获了一批使用高危word附件进行定向攻击的钓鱼邮件，攻击对象均为同一项目团队成员，引起了安全人员的重视。下面是邮件附件的分析报告： ?...从分析报告中可以清晰的看到，此word文件有创建进程的异常行为，另外也发现了异常的网络行为，可以猜测这是一个下载器。...逆向分析可见其存在查找4G卡的服务提供商，获取虚拟按键等较明显的搜集敏感信息的行为： ? ?...进程遍历也是常规手法：调用CreateToolhelp32Snapshot建立进程快照，通过Process32FirstW和Process32NextW进行遍历来找到当前进程，然后通过CloseHandle...监控包括explorer、cmd、winword在内的多个程序： ? ? 获取磁盘信息： ? 获取各种浏览器和云盘中的用户信息及历史数据： ? ? 检测杀软： ?

3.5K2 0

如何检测并修复内存泄漏问题？

观察哪些进程的内存占用持续增加。监控内存趋势如果某个进程的内存占用随着时间推移不断增加且不释放，可能存在内存泄漏。2. 使用资源监视器分析内存使用资源监视器可以提供更详细的内存使用信息。...查看“提交”列，观察哪些进程的内存分配持续增长。如果发现异常进程，记录其名称和PID以进一步分析。3. 使用性能监视器监控内存性能监视器可以帮助您长期监控内存使用趋势。...点击绿色加号按钮，添加以下计数器：\Process(*)\Working Set（工作集，表示进程当前使用的物理内存）。\Memory\Available MBytes（可用内存）。.../your_program该命令会报告内存泄漏的详细信息。5. 更新或修复问题软件如果确认某个程序存在内存泄漏问题，可以尝试以下方法修复。更新软件访问软件官网，下载并安装最新版本。...调整虚拟内存右键点击“此电脑”，选择“属性” -> “高级系统设置”。在“性能”部分点击“设置”，切换到“高级”选项卡。点击“更改”，调整虚拟内存大小。8.

2.2K2 1

二进制程序分析指南

包括未在当前视图中显示的高级的日志机制，可记录上千万的事件，数GB的日志数据进程树工具显示所有进程的关系原生的日志格式，可将所有数据信息保存，让另一个 Process Monitor 实例加载进程悬停提示...行为分析方法—Process Explorer Process Explorer是一个功能强大的进程管理工具，用于监控正在运行的进程。运行的进程以树状结构显示，该结构显示子进程和父进程的关系等等。...进程资源管理器图形界面和颜色代码如下所示: Process Explorer特点: 默认的树视图显示进程之间的层次关系；精确的进程CPU使用率；可以添加托盘图标来监控CPU，磁盘，GPU，网络等；...，Process Explorer提供了一个选项，允许分析人员通过比对VirusTotal上的HASH值。...例，在下图中，用户可以看到进程名“malware.exe”(它是“explorer.exe”的子进程)在70个检测中存在61个风险，表明该应用程序很有可能是恶意的。

2.9K1 0

系统内存占用过高，如何排查原因？

切换到“进程”选项卡，按“内存”列排序，找出占用内存最高的进程。...（Working Set），即进程当前使用的物理内存。...添加计数器，例如：\Process(*)\Working Set\Memory\Available MBytes监控内存使用趋势，找出异常进程。3....调整虚拟内存设置右键点击“此电脑”，选择“属性” -> “高级系统设置”。在“性能”部分点击“设置”，切换到“高级”选项卡。点击“更改”，调整虚拟内存大小。6....结束异常进程如果发现某个进程异常占用内存，可以尝试结束该进程。使用任务管理器结束进程打开任务管理器，找到异常进程。右键点击该进程，选择“结束任务”。

5K1 0

windows入侵简单排查步骤

Windows入侵排查一：检查系统账号 1、检查账号是否有弱口令 2、检查是否有新增、异常账号确认方式： a、打开cmd 输入：lusrmgr.msc 查看如果有异常的账号进行删除 b、net...二：检查异常进程 1、检查端口异常链接情况 netstat -ano | findstr LIS、tasklist | findstr $pid 2、查看进程的详细信息运行---输入msinfo32...--软件环境--正在运行的任务可以查看到进程的详细信息 3、可以使用process explorer分析进程信息 Process Explorer对进程以树形图的形式进行展示，这样方便我们观察父子进程之间的关系...从这里我们可以看出来，绝大部分的窗体应用程序都是explorer.exe的子进程，大部分的后台进程都在services.exe下面： D盾进程查看定位进程文件所在的位置： a、D盾、任务管理器等右键可以查看到软件所在的目录...b、运行--输入wmic --输入process 三、检查启动项、定时任务 a、运行--输入msconfig可以查看启动项、服务运行--输入regedit 查看注册表是否有异常的启动 HKEY_CURRENT_USER

1.3K5 0

Linux 了解内存使用

进程寻址空间0~4G 进程在用户态只能访问0~3G，只有进入内核态才能访问3G~4G 进程通过系统调用进入内核态每个进程虚拟空间的3G~4G部分是相同的进程从用户态进入内核态不会引起CR3的改变但会引起堆栈的改变...用户进程内存空间，也是系统内核分配给该进程的VM(虚拟内存)，但并不表示这个进程占用了这么多的RAM(物理内存)。这个空间有多大？...当指针引用的内存页没有驻留在RAM中，即在RAM找不到与之对应的页框，则会发生缺页异常(对进程来说是透明的)，内核便陷入缺页异常处理。...因为是第一次引用此页，在RAM中找不到与之相对应的页框。发生缺页异常（对于进程而言缺页异常是透明的），系统灵敏地捕获这一异常，进入缺页异常处理阶段：接下来，系统会分配一个页框(RAM)映射给它。...对待这种编程错误引起的缺页异常，系统会杀掉这个进程，并且报告著名的段错误(Segmentation fault)。 5.

4.2K3 0

QBot恶意软件深度解析

以下是检测方式： 1、使用关键字“ VMXh”执行ASM代码，如果在虚拟机中将触发异常。异常处理程序可以捕获异常并返回1，否则返回0。下面是ASM代码段。...使用WMI命名空间“ ROOT \ CIMV2”调用ConnectServer API，使用“ Win32_Process”调用CoSetProxyBlanket和GetObject。...在Explorer.exe中执行QBot 在“explorer.exe”中运行的代码主要任务是加载和解密资源“307”。...它通过调用API VirtualAllocate将每个部分从“ 307” PE结构加载到新分配的内存中。然后修复重定位数据并导入必要的API，使核心模块可以在“ explorer.exe”中执行。...完成上述步骤后调用核心模块的入口点。 ? 总结本报告第一部分中详细说明了Office Word文档如何通过恶意宏下载QBot变体，以及它如何使用复杂的技术隐藏和保护自己。

2.9K3 0

常见的Linux系统监控命令

但是仍然为其保留一定的信息(包括进程号the process ID,退出状态the termination status of the process,运行时间the amount of CPU time...taken by the process等)。...VIRT：virtual memory usage 虚拟内存，虚拟内存=物理内存+swap 1、进程“需要的”虚拟内存大小，包括进程使用的库、代码、数据等 2、假如进程申请100m的内存，但实际只使用了...8、vmstat 显示虚拟内存状态（“Viryual Memor Statics”），但是它可以报告关于进程、内存、I/O等系统整体运行状态。...Memory（内存） swpd: 使用虚拟内存大小，如果swpd的值不为0，但是SI，SO的值长期为0，这种情况不会影响系统性能。 free: 空闲物理内存大小。 buff: 用作缓冲的内存大小。

3.1K3 0

Linux进阶命令-ps&kill

PS ps命令是用于报告当前系统的进程状态。以下是它的详细介绍：一、基本功能它能够提供关于运行在系统中的进程的大量信息，例如进程的 ID、进程所属的用户、进程的 CPU 和内存使用情况等。...此命令会显示更详细的信息，包括 USER（进程所有者的用户名）、PID、%CPU（进程占用的 CPU 百分比）、%MEM（进程占用的内存百分比）、VSZ（进程使用的虚拟内存大小，单位为 KB）、RSS（...进程使用的物理内存大小，单位为 KB）、STAT（进程的状态，如 R 表示运行中，S 表示睡眠，D 表示不可中断的睡眠等）、START（进程的启动时间）、TIME（进程累计使用的 CPU 时间）、COMMAND...可以使用 kill 命令将僵尸父进程终止并清理掉。关闭异常进程：当某个进程消耗过多资源或者表现异常时，可以使用 kill 命令终止它，以恢复系统的正常运行。...00:00:00 nginx: worker process 1.15027进程编号是nginx的master进程或者说主进程，它的父进程是1号进程，这个1号进程理解就是操作系统(普通的业务进程的父进程都应该是

1.1K1 0

android杀死进程

测试手机：华为荣耀6 型号 H60-L01 Android版本 4.4.2 android.os.Process.killProcess(pid); 结束pid的进程并释放资源 activityManager.killBackgroundProcesses...(pkgName); kill -9 pid system.exit(int) 关闭虚拟机结束整个app 0表示正常结束 1表示异常结束 restartPackage(getpackageName...PID Process ID 进程ID PPID Process Parent ID 父进程ID VSIZE Virtual Size 进程的虚拟内存大小 RSS Resident...Set Size 实际驻留“在内存中”的内存大小 WCHAN 休眠进程在内核中的地址 PC Program Counter NAME 进程名 ps|grep 的方法【导航贴】绿色守护教程/资源/问答 v1.0 有没有有效的办法切断安卓app的相互唤醒路径？

1.5K1 0

093_数字取证高级技术：高级恶意软件分析与动态行为监控实战指南——从静态分析到内存取证的全面威胁识别方法

隔离分析环境建立安全的恶意软件分析环境至关重要：物理隔离：使用独立的物理机器进行分析虚拟隔离：使用虚拟机技术，支持快照和恢复网络隔离：设置虚拟网络，控制对外连接沙箱环境：使用专业沙箱解决方案如...Cuckoo Sandbox 容器隔离：使用Docker等容器技术隔离分析进程 1.3.2 虚拟机配置推荐的分析虚拟机配置： Windows分析环境： - Windows 10/11企业版（禁用自动更新...objdump 显示目标文件信息 pestr 分析PE文件结构动态分析工具 Process Monitor 监控文件、注册表和进程活动 Process Explorer 进程和DLL详细信息...Threat Hunting剧本：基于行为高频模式与异常基线进行假设驱动搜索（长连接、罕见父子进程、异常SNI/证书）。...在严格的授权与合规框架下，结合规范化的工具链、IOC管理与报告流程，能够有效识别复杂威胁、重建攻击链并支撑处置与诉讼。持续迭代检测能力与流程度量，将显著提升组织的威胁发现与响应效率。

5511 0

跟3dsmax2025环境有关的explorer异常的低概率问题，可通过配置开机计划任务catch异常后重启机器来规避

有个朋友2024年5月在server2019做了一版3dsmax2025环境的自动登录跑渲染业务的镜像后出现概率性explorer异常问题，在做3dsmax2025环境之前，用server2019配置≤...3dsmax2024的渲染环境，没有explorer异常问题，后来保持现有3dsmax2025环境就地升级到server2022系统仍然存在explorer异常问题。...explorer才能看到界面） 2019： 2022：临时解决方案：通过开机计划任务catchup异常后重启机器：新建开机计划任务延迟2分钟执行，如果不存在业务进程或explorer.exe进程，则执行重启机器的命令...正常的时候、explorer异常的时候，主要系统进程和业务进程的差异，可以拿业务进程判断，也可以拿explorer.exe进程判断拿explorer.exe进程判断 @echo off tasklist...，并且explorer异常的问题场景跟BrokerInfrastructure服务和LSM(Local Session Manager)服务密切相关。

4151 0

CC++ 程序反调试方法总结

: 该反调试的原理非常简单,我们的系统在运行程序的时候,都是由Explorer.exe这个进程派生出来,也就是说如果没有被调试得到的父进程就是Explorer.exe的进程ID,如果被调试则该进程的父进程...); do { // 先判断是不是我们自己进程的PID if (ProcessId == pe32.th32ProcessID) { // 判断父进程是否是 Explorer.exe...= IsDebug(); if (ret == 1) { printf("进程正在被调试 \n"); } system("pause"); return 0; } 异常处理实现反调试: 通过安装异常处理函数...异常,而在虚拟机中并不会发生异常,我们可以利用这个特性判断代码是否在虚拟机中....,将会产生异常 } return VmWare; } int main() { int ret = IsInsideVM(); if (ret == 1) printf("当前代码在虚拟机中

7581 0

点击加载更多

Efimer木马的攻击机制分析与企业防御体系构建

window 查找 java 进程中占用cpu比较高的线程

084_数字取证进阶：内存转储与实时分析技术实战指南——从内存获取到恶意代码检测的全面解析

如何查看系统资源的实时占用情况？

【安全】记录钓鱼邮件中木马病毒的分析溯源

进程管理工具推荐,进程管理工具是用于监控、控制和管理计算机系统中进程运行状态的软件工具

利用驱动人生升级通道传播的木马手工查杀记

一则邮件攻击样本分析分享

如何检测并修复内存泄漏问题？

二进制程序分析指南

系统内存占用过高，如何排查原因？

windows入侵简单排查步骤

Linux 了解内存使用

QBot恶意软件深度解析

常见的Linux系统监控命令

Linux进阶命令-ps&kill

android杀死进程

093_数字取证高级技术：高级恶意软件分析与动态行为监控实战指南——从静态分析到内存取证的全面威胁识别方法

跟3dsmax2025环境有关的explorer异常的低概率问题，可通过配置开机计划任务catch异常后重启机器来规避

CC++ 程序反调试方法总结

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐