process_monitor教程汇总

此文收集于网络,我进行了一些整理,分了三个部分如下。

第一部分:一个简要的教程

微软出品用于监视Windows系统里程序的运行情况,监视内容包括该程序对注册表的读写对文件的读写网络的连接进程和线程的调用情况。

可以看出processmonitor是非常强大的一款软件,普通人就不要使用了,这可是电脑高手使用的软件,断线的风筝也谈不上高手,因为process monitor 里面的很多专业词汇看得并不太明白,本教程只是说明一下如何使用process monitor 这款超强的系统监视软件。

启动processmonitor后,process monitor会自动扫描分析系统当前程序的运行情况。

我们注意processmonitor界面右上角的工具栏上的几个图标,他们分别表示注册表的读写、对文件的读写、网络的连接、进程和线程的调用和配置事件。

搞清楚这几个图标代表的意义是必需的,因为在监视记录里的操作类型就是以这些图标来区别的,同时我们也可以通过点击工具栏上的这几个图标来开启和关闭监视内容。如:我们要去掉监视注册表读写,我们只需点击一下注册表读写按钮就行了。

在默认情况下processmonitor会监视系统内所有的程序运行情况,而通过在实际操作过程中我们只需对某个程序进行监视,那么我们就可以使用过滤器功能进行过滤。

在菜单过滤器里点击过滤器,可以打开过滤器。

过滤器的操作也很简单,我们以只监视QQ为例,我电脑上的QQ运行后的PID248,我们将这个248增加进过滤规则列表内,并且同时看看里面有没有其它的过滤规则列表,注意绿色钩显示的都删除

这是只一个简单的例子,当然还有更复杂的规则说明,可以参考一下列表里的规则。

最后说下processmonitor到底有什么用?

除了那些电脑高手喜欢分析程序运行情况外,还有那些编程人员对程序运行情况的分析,及查找电脑内是否有木马的情况等。

第二部分:一个使用实例(微软Process Monitor证实“窥私门”事件)

近期,360隐私保护器曝出腾讯窥私门事件。无数网民发现,QQ聊天工具在暗中密集扫描电脑硬盘、窥视用户的隐私文件,另两款聊天工具MSN和阿里旺旺则没有类似行为。随即有网友曝料称,早有人通过微软processmonitor(进程监视工具)发现QQ窥私的秘密。
  据悉,process monitor是微软旗下的Windows
  统进程监视工具,能够对系统中的任何文件和注册表操作进行监视和记录,帮助用户判断某款软件是否存在越轨行为。与360隐私保护器相比,process monitor采用了类似的原理,但是监测对象更广泛,适合具备一定电脑知识的用户使用。
  笔者下载安装了最新的process monitor2.93版,并开启QQMSN、阿里旺旺、飞信等聊天工具进行对比测试。在运行这些软件后,既不点击软件面板上的任何按钮,也不进行任何操作,以此判断它们有没有在后台悄悄翻看用户的隐私文件。
process monitor监测记录表明,QQ不仅会自动访问许多与聊天无关的程序和文档,例如我的文档等敏感位置,测试当天的上网记录也没能幸免。随后,QQ还会产生大量网络通讯,很可能是将数据上传到腾讯服务器。短短10分钟内,它访问的无关文件和网络通讯数量多达近万项!MSN等其它聊天工具的行为则要规矩得多,只是访问了自身文件和必要的系统文件。

process monitor验证:自动访问用户上网记录等隐私数据,并进行网络通讯

 

经验证,QQ偷偷访问的隐私信息几乎覆盖了用户上网的一举一动,包括看过哪些网页、装了哪些软件、电脑桌面上有哪些文件、所有Office文档、甚至电脑登陆所有网站、博客、邮箱的登陆信息cookies缓存文件,完全在QQ的监控范围之内。


  鉴于process monitor是微软提供的工具,其验证结果无疑非常客观、准确。读者可参考以下步骤自行操作,亲眼看看QQ对你隐私的掌握是不是已经到了无孔不入的地步:


1、访问下载并安装process monitorv2.93
2、运行process monitor,在Filter菜单中设置监测过滤条件,包括:


1) Process name is qq.exe, Include (监测并记录QQ进程的活动)
2) Path contains tencent, Exclude (排除QQ访问自身文件的活动)
3) Path begins with C:\windows,Exclude (排除QQ访问系统文件的活动)


3、在软件界面中选择Show File System ActivityQQ进程访问的文件),去除对注册表的监测显示,让监测结果更加直观。如下图:

第三部分:一个山寨版使用说明书

一、概述

此软件主要功能是:监控文件、注册表、进程、网络访问、事件。

二、详细功能

1、可以显示每条监控记录的详细信息
     
双击指定记录,或者右键->属性就可以查看具体详细信息。

2、转到

      在指定的记录上右键->Jump to可以转到相应的注册表键或者文件上。

3Process Tree

      进程树显示,Tool->ProcessTree(Ctrl+T),顾名思义,显示进程详细信息,及调用关系。

 

4、活动进程、文件、注册表、栈、网络、引用总结

      对当前监控的总括描述,通过菜单Tool进入相应功能。

二、软件设置

1、设置显示的列

 

Options->SelectColumns,具体每列代表的意思如下(英文,为了防止歧义这里就不翻译了).

Application Details

·        Process Name The name of the process in whichan event occurred.

·        Image Path The full path of the image running in aprocess.

·        Command Line The command line used to launch aprocess.

·        Company Name The text of the company nameversion string embedded in a process image file. This text is optionallydefined by the application developer.

·        Description The text of the productdescription string embedded in a process image file. This text is optionallydefined by the application developer.

·        Version The product version number embedded in aprocess image file. This information is optionally specified by the applicationdeveloper.

Event Details

·        Sequence Number The relative position of theoperation with respect to all events included in the current filter.

·        Event Class The class (File, Registry,Process) of the event.

·        Operation The specific event operation (e.g. Read,RegQueryValue, etc.).

·        Date & Time Both the date and the time of anoperation.

·        Time of Day Only the time of an operation.

·        Path The path of the resource that an event references.

·        Detail Additional information specific to anevent.

·        Result The status code of a completedoperation.

·        Relative Time The time of the operationrelative to Process Monitor's start time or the last time that the ProcessMonitor display was cleared.

·        Duration The duration of an operation that hascompleted.

Process Management

·        User Name The name of the user account in whichthe process that performed an operation is executing.

·        Session ID The Windows session in which the processthat executed an operation is executing.

·        Authentication ID The logon session in which theprocess that executed an operation is executing.

·        Process ID The Process ID (PID) of the process thatexecuted an operation.

·        Thread ID The Thread ID (TID) of the thread thatexecuted an operation.

·        Integrity Level The integrity level at which theprocess that executed an operation is running (Windows Vista only).

·        Virtualized The virtualization status of theprocess that executed an operation (Windows Vista only).

2、过滤显示内容

      Filter->Filter(Ctrl+L),这里的过滤设置很灵活,看下图便知

3、高亮度显示指定条件的内容

      Filter->Highlight(Ctrl+H),条件的设置跟过滤一样

4、清屏和自动滚动

      清屏Edit->Clear Display(Ctrl+X)

      自动滚动保持最新的记录在最下面滚动显示Edit->AutoScroll(Ctrl+A)

5、其他设置

其他设置还包括,打开、保存、备份文件,导入、导出配置文件,保存和导入过滤设置文件,字体设置等基本设置,不一一类举,使用时一看便知。

你可能感兴趣的:(win32-tool)