Process Monitor 入门教程:使用真实案例 | 您所在的位置:网站首页 › process 线程 › Process Monitor 入门教程:使用真实案例 |
简介
Process Monitor 可以实时显示并记录在 Windows 操作系统上发生的各类活动,包括注册表活动、文件系统活动、网络活动、进程和线程活动、剖析(CPU/内存)等。 Process Monitor 常用来在 Windows 上排除故障和寻找恶意软件、病毒。 另一个常用的工具是 Process Explorer ,可以参考本站另一篇文章Process Explorer 快速入门 本文将通过使用 Process Monitor 来记录 360 安全浏览器安装过程来讲解如何使用 Process Monitor 。 先决条件如果你懂 Windows 编程和内核方面的一些知识,对充分利用 Process Monitor 来说是非常好的。如果你不懂那也没关系,可以随时使用搜索引擎来探索研究陌生的词语。有时我们大概知道它们是什么就足够了。 启动 Process Monitor 需要使用 Windows 管理员帐户登录。 下载运行 Process MonitorProcess Monitor 官方下载页面 下载完成后会得到一个名为 ProcessMonitor.zip 的文件,需要解压并放置到合适的位置。 解压后会得到 5 个文件: Eula.txt - Process Monitor 的授权文件 procmon.chm - Process Monitor 的帮助文件 Procmon.exe - 主要的可执行文件,如果系统是 64 位会视情况启动 Procmon64.exe 或 Procmon64a.exe 作为子进程。 Procmon64.exe - 兼容 x64 处理器架构的可执行文件 Procmon64a.exe - 兼容 Alpha 处理器架构的可执行文件请双击 Procmon.exe 来运行 Process Monitor 。如果这是你第一次在当前计算机中运行 Process Monitor ,你需要接受许可条款。 如果弹出“用户帐户控制”对话框,请点击“是”按钮,以授予 Process Monitor 管理员权利。 Process Monitor 默认启动后立即开始捕获所有活动事件。现在点击工具栏上的第三个按钮(鼠标指针在按钮上稍作停留以查看提示文本) Capture (Ctrl + E) 可以启用/禁用事件捕获。我们当前先禁用事件捕获。 下载 360 浏览器360 安全浏览器官方下载页面 只是下载,先不要安装。 捕获安装过程确保 Filter 菜单的 Drop Filtered Events 菜单项是未选择的状态(前面没有“☑”符号)。 运行 Process Monitor 并点击工具栏上的第三个按钮 Capture (Ctrl + E) 以启用捕获。 现在运行 360 安装程序正常安装。 安装完成后点击 Capture (Ctrl + E) 停止捕获。 点击工具栏上的第 9 个按钮 Process Tree ,打开标题为 Process Tree 的对话框。 在 Process Tree 对话框的 Process 列中找到与下载的 360 浏览器安装程序文件同名的进程,点击它使它高亮显示,然后点击 Include Subtree 按钮过滤 360 浏览器安装程序创建的进程树相关的活动事件。 点击 Close 按钮关闭 Process Tree 。 这样我们就过滤出了运行 360 浏览器安装程序产生的所有活动事件。 结果解析过滤出的结果大概是这样的: 第一行和第二行的 Operation 列意思显而易见,Process Start 代表安装程序进程启动,Thread Create 代表线程启动。 三、四、五行的 Operation 列的值 Load Image 代表加载可执行映像文件,就是把二进制指令加载到内存中。Path 列的值可能是文件路径、注册表项的路径或通信息的源地址和目标地址,某些情况下是空的。 Operation 列的值通常是 Windows 系统调用。 例如,如果我们通过搜索引擎查询 QueryEaFile ,可以知道它对应 Windows 内核函数 ZwQueryEaFile ,它返回有关文件的扩展属性(EA)值的信息。扩展属性和标准的文件属性相对应,它代表没有被文件系统定义和解释的自定义属性。 通过调查活动事件记录中的每行中每个值究竟是什么,我们就获得见解和洞察来排除故障和发见恶意软件和病毒。 由于这可能是个漫长的过程,本文就不展开叙述了。扎实的 Windows 编程和 Windows 内核、Windows 驱动程序开发知识会是非常有优势的。 |
CopyRight 2018-2019 实验室设备网 版权所有 |