Procmon 的使用

Procmon 也即是Process Monitor, Procmon是一个系统进程监控软件。 Procmon = Filemon+Regmon，Filemon是专门用来监控系统中的任意文件操作过程，Regmon用来监控注册表的读写操作过程。Procmon其实就是Filemon和Regmon的组合，可以对系统中的任何文件和注册表同时进行监控和记录。通过注册表和文件读写的变化，有利于诊断系统发生故障或者其他恶意软件，病毒和木马。

Procmon 是一种动态监测病毒的工具。不过这个工具的安装并没有现象中那么容易。安装过程中遭遇一个困难：Procmon was unable to allocate sufficient memory to run, Try increasing the size of your page file. 网上很多解释ASLR没有开启，但是ASLR在windows平台是默认开启的，导致ASLR关闭的原因有可能是某个软件屏蔽了ASLR。 这里最好卸载一些无关的软件，比如防火墙，或者软件下载器等。注意卸载之前要对vmware采取snapshot 以方便可以rollback。

图一：Process Monitor 界面

打开procmon之后，会一直或许windows 的系统调用(最快能达到 50,000/min)，因为procmon采用是RAM来记录这些信息，采集时间过长有可能导致虚拟机崩溃。在段时间内运行procmon之后，要采用File->Capture Events 使procmon暂停。从图一中可以看到，process Moniter显示Time of day (Time stamp), Process Name, PID, Operation, Path, Result, Detail. Procmon的信息量通常过大，要采用Filter->Filter进行信息过滤。图一中其实已经对operation进行了RegSetValue进行过滤。

图二：Procmon的Properties

选中一个exe，击右键，可以查看properties，选择Jump To..可以跳转到相应的windows注册表位置。这里截取一个用procmon检查病毒的案例。

图三：病毒....

利用Jump To...直接跳到GAC下的问题Folder，检查一下权限，该目录只剩下SYSTEM 和 Administrator有权限，所以用NETWORK SERVICE 执行w3wp.exe无法执行。所以补上权限，自然就能执行了。

Reference :

http://hi.baidu.com/miny3512/item/f7b5765c08b4bd3495eb0550