应用分析中的网络捕获与内存分析技术
在应用分析的过程中,网络捕获与内存分析是两项至关重要的技术,它们能够帮助我们深入了解应用程序的行为和潜在风险,下面将详细介绍这两方面的相关内容。
网络捕获工具及应用
在进行应用分析时,网络捕获是一项重要的技术手段,它能帮助我们了解应用程序在网络层面的行为。
独立运行Capture - BAT
运行Capture - BAT的独立模式相当直接。大多数分析师会使用以下命令行来启动Capture - BAT:
C:\Program Files\Capture\capturebat –l logs\output.txt –c此命令会让Capture - BAT开始监控系统,将记录的系统事件发送到“logs”子目录下的“output.txt”文件中,同时复制被删除或修改的文件。若系统中安装了必要的WinPCap驱动(可从http://www.winpcap.org/获取),添加“-n”开关,就能捕获网络流量。
其他系统活动监控工具
除了Capture - BAT,还有其他免费工具可用于监控系统活动,其中Process Monitor(ProcMon)是较为知名的一款。它可从微软官网(http://technet.microsoft.com/en-us/sysinternals/bb896645)获取。ProcMon能对系统的文件系统、注册表以及进程/线程活动进行实时监控。
ProcMon的优势与潜在劣势并存。其优势在于能捕获大量数据,即便Wi
