导语

期待已久的HSGFLS终于发布第三个测试版了(好像前两个没有公测),经过反复测试我们已经解决了大量的问题。已经实现了较为完善的功能体系。

更新日志

v1.0.0 bate.Q1

  • 这是HSGFLS 的初代版本,已经实现了绝大多数功能。

v1.0.0 bate.Q2

  • 支持了运行调试
  • 支持生成报告文件
  • 修复门槛
  • 支持多行选中
  • 支持定位
  • 支持复制和排除快捷键
  • 支持断点和取消全部断点
  • 还有很多细节...

v1.0.0 bate.Q3

  • 支持一键生成bat
  • 修复运行时门槛问题
  • 新增支持open和kill程序的运行和反向运行

功能介绍

HSGFLS 是一个基于火绒剑生成的日志进行深度分析的工具,我们知道火绒剑是无法再次将以导出的日志文件重新导入继续分析的,只能导入到表格工具里进行分析。但是表格工具毕竟并非专业的安全分析工具,无法充分发挥他的用处。 HSGFLS 的诞生就是为了解决这个问题。我们在支持导入火绒剑日志的前提下同时支持了基本的分析规则以及带来了更多的功能拓展。

主界面

主界面全中文,有中文提示。程序动作一目了然。

选中

选中其中一个动作后可以看到菜单项目,其中包含了动作信息,定位文件,复制,包含,排除选项。

过滤

支持进程过滤(包含/排除),路径过滤(包含/排除),动作过滤(包含/排除)

运行

支持直接对日志文件进行,运行调试。包括 从头开始运行,从当前开始运行和反向运行

断点

断点支持,添加断点,取消断点和取消所有断点。

生成bat

支持直接将运行中的日志文件打包写成bat批处理文件,生成的文件支持秀自由修改。

自动生成的bat文件

生成报告

这个功能可以将复杂的日志文件(机读)导出为可以认为可以轻易识别的中文运行报告。

实例展示

上面的介绍实在是有点片面,我们直接说的接地气点。

动作过滤器

不知道大家有没有这样的习惯,在做病毒分析的时候总喜欢保留一份完整的日志文件由于后期分析。但是后期分析工作由于环境不一样测试时肯定是在虚拟机,但是我们分析报告随时都可以。所以说有很多动作其实是没有什么意义的或者说要分段分析,就比如:打开文件 这个动作在测试环境的时候可以看到打开了哪些文件,但是后期分析的时候是看不到当时的文件的,像这样的动作就应该先排除掉。

需要被排除掉的,还有,读取文件,打开文件这些。我一般上会把重心放在创建文件,修改注册表之类的操作上。如果我要这样过滤,在我们的动作过滤器中就可以轻松实现。

生成报告

不知道大家有没有写blog的习惯,反正我有。我在做病毒测试的时候同时也会把分析结果供大家参考,但是写分析报告这件事情就困扰我很久。因为日志文件内容繁杂,不利于一般用户解读,我自己copy翻译也太麻烦了。所以这个功能就出来了,它可以将繁杂的日志文件翻译成可被一般用户解读的文本文件。

遵循语文动作原则,谁在哪里做了什么。小白也能读懂(日志中在哪里并不重要?)。

生成bat

这个功能特别骚,我举个例子吧。自己不会写bat,直接把别人的软件做过的事情用本子记下来然后直接用我们的工具给他翻译成一个可执行的脚本程序不就ok了?

就好像,我发现有一个软件的功能非常厉害。但是我又不想为了这一个功能下载一个如此流氓的软件庞大的软件,怎么办?又或者朋友问到你,但是又不好意思把这个 流氓的软件庞大的软件软件发给他怎么办呢?能不能提取出来呢?其实功能也差不多,记下来直接生成bat文件打开就能实现。(仅部分)

反向运行

这个功能才是最骚的,电脑中病毒了?别慌把病毒做过的事情一一记录下来,然后反向运行(写入文件反过来就是删除文件)然后病毒就没了。

理论上这个功能不能这么用的,今天早上心血来潮突然就想试一下,效果还不错

运行病毒

电脑成功被感染没看到了病毒主程序

反向运行了一下,可以看到病毒主程序进程已经没有了

用火绒系统修复扫描一下,没有发现问题。这个病毒会自动隐藏自己应该能扫掉了,但是没有扫到就说明在反向执行中已经被干掉了。

最后的火绒杀毒中也没发现问题,这个病毒会写启动项,和释放主程序但是火绒都没有发现问题。说明病毒已经在反向执行中被彻底清除了。

结束

介绍结束,下面是下载方式和软件授权方式

软件授权方式

该程序终身免费,切勿倒卖。

下载方式

待补充