hgywan52301

python编写的工具,可以通过后台监控ip来定位发起访问的进程(包括父进程等)文件信息,可以用户终端偶发c&c通信杀毒找不到进程场景

驱动人生病毒会有写入大量powershell计划任务的情况，用来访问恶意域名下载病毒文件，计划任务大多采用随机命名以及将内容采用编码的方式来隐藏，该工具可以之间解码过滤掉混杂内容，查看powershell具体执行明文内容。