【网络安全】小白每天学一点之“监控应用程序行为” [process monitor]

最新推荐文章于 2024-06-29 21:27:33 发布
最新推荐文章于 2024-06-29 21:27:33 发布
阅读量5.7k 收藏 13
点赞数 3
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/roshy/article/details/112652493
版权

Process Monitor

功能:监控应用程序的文件操作、系统操作、注册表操作、网络行为等。

 

1.定位程序

首先是配置监控的应用程序,可以从过滤器设置,点击工具栏的过滤器按钮设置 Process Name is  “应用名称”即可。

如果不知道应用名称的应用怎么办,比如突然弹出的广告窗口,看到那个雷达小图标没,拖到当前活动窗口上就能定位到是哪个进程打开的窗口,对付恶意广告流氓软件啥的很好用。

2.过滤行为

当你试图去分析一个应用程序的行为可能会被铺天盖地的程序行为感到困惑,一般情况下需要过滤掉不关注的行为,以方便分析。

  • 可以通过直接点击监控功能按钮关闭或开启:注册表、系统目录、网络等操作
  • 可以通过编辑过滤条件把应用本身一些重复的行为Exclude掉,这样可以更方便的观察应用行为。

     编辑过滤条件(先exclude一些条件)->add过滤->应用过滤

     可以添加关注API, 比如:WriteFile操作等。

3、动手测试

写了个简单的小程序,点击按钮在D盘创建一个文件,然后写入一些字符后关闭文件

监控到的应用行为如下

下面一大堆注册表的查询和设置貌似和字体设置sogou有关,暂时不关注了。

为了屏蔽windows程序自动夹杂的各种行为方便观察测试,用控制台写了文件操作程序

逐个输入数字序号执行捕获到行为如下:

有点让我费解的是,程序还没输入数字序号执行前捕获的一大堆行为是什么鬼?有知道的同学麻烦告诉我下,谢谢!

测试程序下载地址:https://download.csdn.net/download/roshy/14355179

 

roshy
关注
专栏目录
[网络安全篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
杨秀璋的专栏
02-26 1万+
这是作者的网络安全教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助。
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3106
系统安全将更好地帮助初者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
监测 Windows 应用行为
海纳百川
01-07 2487
监测 Windows 应用行为 当我们安装、运行 Windows程序时,程序可能会包含创建文件夹、修改注册表等一系列行为。但是大部分应用程序的这些行为对于使用者来说都是不可见的。 当我们需要监控一个应用程序干了哪些事情,就可以使用工具: Wise Installation System。该应用程序通过拍摄快照、对比快照的方式可以来展示程序的行为。 安装: 选择SetupCapture: 勾选设置: 对当前主机内容拍摄快照: 执行需要观测的程序: 执行操作后再观测当前主机状态: 完成后就可以在
软件行为监控
04-08
想不想知道运行的软件偷偷在后台都在干什么?有没遇到过浏览网页时听到不错的背景音乐却没办法下载下来?那么现在这些都不是问题了,立即下载即可帮您解决这些问题,此不到1M的绿色小程序速度飞快,实时刷新状态,电脑必备,是您系统的鹰眼!
应用程序行为监控测试用程序
01-15
这是一个用来做应用行为测试观察实验的小程序
应用程序监控
ITmoster的博客
06-16 729
Applications Manager 应用程序监控软件,通过帮助开发人员了解其应用程序最终用户面临的挑战并提出改善客户体验的解决方案,为开发人员提供信息。
行为监控软件监控什么 行为监控软件下载
2401_83058349的博客
04-24 358
行为监控软件主要用于监控和分析用户的行为模式。这类软件可以监控的内容相当广泛,安企神作为典型的行为监控软件,可以从中窥见软件监控的内容:
开发AI黑客机器人并上传全云端
最新发布
Sunspot
06-29 1003
黑客机器人开发是指开发一种具有黑客技术的自动化程序或机器人。这些机器人可以执行各种黑客活动,如渗透测试、漏洞扫描、密码破解等。
深入浅出Zabbix 3.0 -- 第三章  Zabbix 监控方式
clm_sky的博客
05-23 1456
第三章 Zabbix监控方式 近日完成《深入浅出zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.csdn.net/course/detail/24870 有人说通过Zabbix可以完成任何监控任务,只有你想不到的,但没有监控不了的,真是这样吗?当你通过本章了解了Zabbix提供...
ProcessMonitor程序操作监控
10-22
可以 监控程序运行 细节 程序写入神马的
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作
12-03
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作,localizer、hacker 或 cracker 必备。
【C#连接MySQL数据库指南】:从小白到大师的进阶之路
[MySQL数据库](https://img-blog.csdnimg.cn/20210316084929516.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNDUzMjg1,size_16,color_FFFFFF,...
linux程序行为监控软件,Linux 进程监控工具 monit
weixin_31937913的博客
05-05 433
如果你已经使用Cacti Nagios 以及zabbix 等一系列监控工具来监控你的项目,但仍然达不到你想要的进程挂掉可以自动拉起并且邮件报警的功能,那么请往下看,推荐一款及其好用的进程监控软件Monit;Monit是一款功能非常丰富的进程、文件、目录和设备的监测软件,适用于Linux/Unix平台。 它可以自动修复那些已经停止运作的程序,特使适合处理那些由于多种原因导致的软件错误,同时Monit...
恶意软件检测中的行为分析
ptsecurity的博客
06-21 2638
恶意软件检测中的行为分析
电脑行为监控可以监控到哪些内容?
DCY18033745888的博客
06-26 775
现在电脑基本上已经成为企业日常办公中不可或缺的工具。一般情况下,企业为了保证员工工作效率,以及内部数据安全就会使用电脑行为监控软件来监控员工使用电脑的情况。那电脑行为监控都可以监控到哪些内容呢?
如何监视应用程序做了什么_应用程序监视:哪些开发人员可以做得更好
cxu0262的博客
06-27 1060
如何监视应用程序做了什么 许多开发团队专注于实现CI / CD管道 ,自动化回归测试 ,将基础结构配置为代码以及对应用程序运行时环境进行容器化。 这些实践和技术共同帮助组织更频繁地部署应用程序,并减少手动步骤和配置中的错误。 但是许多企业希望获得更多,并期望其应用程序具有类似SaaS的性能。 这不仅关乎应用程序的可靠性(即正常运行时间是9s)还是响应时间。 这些只是监视应用程序的赌注。 越来...
不错的系统进程监视软件——ProcessMonitor
weixin_30887919的博客
02-09 269
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,它除了包含2个Sysinternals遗留组件:专门用来监视系统中的任何文件操作过程的Filemon 和用来监视注册表的读写操作过程的Regmon,还具有以下一些增强:  • 监视进程和线程的启动和退出,包括退出状态代码  • 监视映像 (DLL 和内核模式驱动程序) 加...
Process Monitor 进程监控器 exe监控 windows程序监控
绀目澄清
11-08 3970
以查看 百度网盘 为例。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值