功能借鉴了微软(SYSINTERNAL)的PROCMON工具,PROCMON的对网络活动的解析能力还不够强,
部分数据输入/输出没有跟踪到,对外设,管道,邮槽没有跟踪。
在其它方面系统跟踪器效果与PROCMON基本一致。
考虑跟踪速度,当前系统跟踪器只支持将记录信息保存在内存中,可以实时记录一段时间内的系统活动。
1.抓取WINDOWS系统内部的行为,通过有重点,差异化的UI界面将行为内容展示给用户。
2.提供分析方法支持使用户容易认识清楚当前计算机的内部活动。
3.提供调整,处理工具进行相应的系统状态和行为的调整和处理。
4.行为数据内容抓取分析。
5.网络数据含义分析。
6.USB设备通信过程细节分析。
7.串口设备通信过程细节分析。
8 多样化的过滤策略自定义,可以有针对性的解决特定情景下的问题。
应用实例:
1.发现电脑中的某个数据文件被改写,通过在相应时机开启运行BITTRACE一段时间后,查看分析日志,可以找到数据文件被改写的原因。
2.发现硬盘灯亮,通过运行BITTRACE分析当前哪些程序在访问文件和硬盘,其中哪些属于未知程序。
3.对网络正在进行的通信进行查看,分析。以确保网络通信的合法性,正确性。可以需要时开启BITTRACE,查看分析具体的网络通信内容。
4.ANDROID设备发现没有响应,分析USB外设日志,观察执行相应命令时是否有正确的USB通信过程。
系统外设事件跟踪器(BITTRACE)界面介绍:
界面共分为两个主面板:
1.系统行为跟踪输出界面2.关于信息界面主面板通过最上端的两个主按钮进行切换。
系统行为跟踪输出界面结构:
中间部分是跟踪输出列表界面,其中的一行表示一个系统行为,说明了:
什么时间发生?
由哪个程序执行?
是什么事件?文件,注册表,网络通信,启动,关闭新程序,其它系统关键行为。
访问的对象是什么?某一个文件,某个注册表配置项,某个程序,某个网络IP地址,系统关键对象等。
访问的结果是什么?
访问的内容是什么?具体文件读/写的数据内容,具体注册表键值的内容,具体网络通信的数据内容等。
输出界面上部是行为分析工具,包括:
开启/暂停跟踪。
清除当前跟踪出内容。
自定条件过滤当前跟踪出的内容的关键部分。
通过将指针移动到感兴趣的窗体上,使跟踪内容只显示窗体对应程序的行为。
跳转到此访问对象,打开这个对象的目录,或注册表键。
通过行为类型进行过滤。
输出界面的下部是跟踪状态信息输出。
