这是只一个简单的例子,当然还有更复杂的规则说明,可以参考一下列表里的规则。
最后说下
process monitor
到底有什么用?
除了那些电脑高手喜欢分析程序运行情况外,
还有那些编程人员对程序运行情况的分析,
及查找电脑内是否有
木马的情况等。
第二部分:一个使用实例
(
微软
Process Monitor
证实“窥私门”事件
)
近期,
360
隐私保护器曝出腾讯
“
窥私门
”
事件。无数网民发现,
聊天工具在暗中密集扫描电脑硬盘、窥视
用户的隐私文件,
另两款聊天工具
MSN
和阿里旺旺则没有类似行为。
随即有网友曝料称,
早有人通过微软
process
monitor
(进程监视工具)发现
窥私的秘密。
据悉,
process monitor
是微软旗下的
Windows
系
统进程监视工具,
能够对系统中的任何文件和注册表操作进行监视和记录,
帮助用户判断某款软件是否存在
“
越
轨
”
行为。与
360
隐私保护器相比,
process monitor
采用了类似的原理,但是监测对象更广泛,适合具备一定电
脑知识的用户使用。
笔者下载安装了最新的
process monitor 2.93
版,并开启
、
MSN
、阿里旺旺、飞信等聊天工具进行对比
测试。在运行这些软件后,既不点击软件面板上的任何按钮,也不进行任何操作,以此判断它们有没有在后台悄悄
“
翻看
”
用户的隐私文件。
process monitor
监测记录表明,
不仅会自动访问许多与聊天无关的程序和文档,例如
“
我的文档
”
等敏感
位置,测试当天的上网记录也没能幸免。随后,
还会产生大量网络通讯,很可能是将数据上传到腾讯服务器。
短短
10
分钟内,
它访问的无关文件和网络通讯数量多达近万项!
MSN
等其它聊天工具的行为则要规矩得多,
只是
访问了自身文件和必要的系统文件。
process monitor
验证:自动访问用户上网记录等隐私数据,并进行网络通讯
经验证,
偷偷访问的隐私信息几乎覆盖了用户上网的一举一动,包括看过哪些网页、装了哪些软件、电脑
桌面上有哪些文件、所有
Office
文档、甚至电脑登陆所有网站、博客、邮箱的登陆信息
cookies
缓存文件,完全
在
的监控范围之内。
鉴于
process monitor
是微软提供的工具,
其验证结果无疑非常客观、
准确。
读者可参考以下步骤自行操作,
亲眼看看
对你隐私的掌握是不是已经到了无孔不入的地步:
1
、访问下载并安装
process monitor v2.93
;
2
、运行
process monitor
,在
Filter
菜单中设置监测过滤条件,包括:
1) Process name is qq.exe, Include
(监测并记录
进程的活动)
2) Path contains tencent, Exclude
(排除
访问自身文件的活动)
3) Path begins with C:\windows, Exclude
(排除
访问系统文件的活动)
3
、在软件界面中选择
Show File System Activity
(
进程访问的文件),去除对注册表的监测显示,让
监测结果更加直观。如下图:
第三部分:一个山寨版使用说明书
一、概述
此软件主要功能是:监控文件、注册表、进程、网络访问、事件。
二、详细功能
1
、可以显示每条监控记录的详细信息
双击指定记录,或者右键
->
属性就可以查看具体详细信息。
2
、转到
在指定的记录上右键
->Jump to
可以转到相应的注册表键或者文件上。
3
、
Process Tree
进程树显示,
Tool->Process Tree(Ctrl+T)
,顾名思义,显示进程详细信息,及调用关系。
4
、活动进程、文件、注册表、栈、网络、引用总结
对当前监控的总括描述,通过菜单
Tool
进入相应功能。
二、软件设置
1
、设置显示的列
Options->Select Columns,
具体每列代表的意思如下
(
英文
,
为了防止歧义这里就不翻译了
).
Application Details
Process Name
The name of the process in which an event occurred.
Image Path
The full path of the image running in a process.
Command Line
The command line used to launch a process.
Company Name
The text of the company name version string embedded in a process image
file. This text is optionally defined by the application developer.
Description
The text of the product description string embedded in a process image file. This
text is optionally defined by the application developer.
Version
The product version number embedded in a process image file. This information is
optionally specified by the application developer.
Event Details
Sequence Number
The relative position of the operation with respect to all events included
in the current filter.
Event Class
The class (File, Registry, Process) of the event.
Operation
The specific event operation (e.g. Read, RegQueryValue, etc.).
Date & Time
Both the date and the time of an operation.
Time of Day
Only the time of an operation.
Path
The path of the resource that an event references.
Detail
Additional information specific to an event.
Result
The status code of a completed operation.
Relative Time
The time of the operation relative to Process Monitor's start time or the last
time that the Process Monitor display was cleared.
Duration
The duration of an operation that has completed.
Process Management
User Name
The name of the user account in which the process that performed an operation
is executing.
Session ID
The Windows session in which the process that executed an operation is
executing.
Authentication ID
The logon session in which the process that executed an operation is
executing.
Process ID
The Process ID (PID) of the process that executed an operation.
Thread ID
The Thread ID (TID) of the thread that executed an operation.
Integrity Level
The integrity level at which the process that executed an operation is running
(Windows Vista only).
Virtualized
The virtualization status of the process that executed an operation (Windows
Vista only).
2
、过滤显示内容
Filter->Filter(Ctrl+L),
这里的过滤设置很灵活,看下图便知
3
、高亮度显示指定条件的内容
Filter->Highlight(Ctrl+H)
,条件的设置跟过滤一样
4
、清屏和自动滚动
清屏
Edit->Clear Display(Ctrl+X)
自动滚动保持最新的记录在最下面滚动显示
Edit->Auto Scroll(Ctrl+A)
5
、其他设置
其他设置还包括,打开、保存、备份文件,导入、导出配置文件,保存和导入过滤设置文件,字体设置等基本
设置,不一一类举,使用时一看便知。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
