Назначение:
Позволяет отобразить цепочку вызовов процессов до интересующего, без использования специальных трейсеров.
Использование:
Подменить файл интересующего процесса на файл из ресурса (snake.exe) - физически, или через IFEO.
Логи:
Логи будут созданы рядом с программой с именем logfile(x).log - на каждый вызов отдельный лог.
Пример лога:
Позволяет отобразить цепочку вызовов процессов до интересующего, без использования специальных трейсеров.
Использование:
Подменить файл интересующего процесса на файл из ресурса (snake.exe) - физически, или через IFEO.
Логи:
Логи будут созданы рядом с программой с именем logfile(x).log - на каждый вызов отдельный лог.
Пример лога:
Код:
THIS PROCESS:
---
Command line: powershell IEX (New-Object system.Net.WebClient).DownloadString
---
Name: snake.exe
Path: C:\Snake\snake.exe
Session: 1
PID: 5108
Parent PID: 4820
CreationTime: 7/6/2022 5:02:52 PM
---
Parent of 5108 is: 4820
---
Name: cmd.exe
Path: C:\Windows\System32\cmd.exe
Session: 1
PID: 4820
Parent PID: 4040
CreationTime: 7/6/2022 4:56:16 PM
---
Parent of 4820 is: 4040
---
Name: TOTALCMD64.EXE
Path: C:\totalcmd\TC\TOTALCMD64.EXE
Session: 1
PID: 4040
Parent PID: 6248
CreationTime: 6/22/2022 3:42:56 PM
---
Parent of 4040 is: 6248
---
Name: explorer.exe
Path: C:\Windows\explorer.exe
Session: 1
PID: 6248
Parent PID: 6228
CreationTime: 6/22/2022 2:15:17 PM
---
Parent of 6248 is: 6228
---
Path: C:\Windows\System32\userinit.exe (hidden)
---
Parent of 6228 is: 700
---
Name: winlogon.exe
Path: C:\Windows\system32\winlogon.exe
Session: 1
PID: 700
Parent PID: 0
CreationTime: 6/22/2022 2:15:09 PM
---
No more parents found.
---
CALL CHAIN: snake.exe <= cmd.exe <= TOTALCMD64.EXE <= explorer.exe <= userinit.exe (hidden) <= winlogon.exe
