【网络安全】小白每天学一点之“监控应用程序行为” [process monitor]

最新推荐文章于 2024-05-16 12:14:12 发布
最新推荐文章于 2024-05-16 12:14:12 发布
阅读量5.6k 收藏 13
点赞数 3
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/roshy/article/details/112652493
版权

Process Monitor

功能:监控应用程序的文件操作、系统操作、注册表操作、网络行为等。

 

1.定位程序

首先是配置监控的应用程序,可以从过滤器设置,点击工具栏的过滤器按钮设置 Process Name is  “应用名称”即可。

如果不知道应用名称的应用怎么办,比如突然弹出的广告窗口,看到那个雷达小图标没,拖到当前活动窗口上就能定位到是哪个进程打开的窗口,对付恶意广告流氓软件啥的很好用。

2.过滤行为

当你试图去分析一个应用程序的行为可能会被铺天盖地的程序行为感到困惑,一般情况下需要过滤掉不关注的行为,以方便分析。

  • 可以通过直接点击监控功能按钮关闭或开启:注册表、系统目录、网络等操作
  • 可以通过编辑过滤条件把应用本身一些重复的行为Exclude掉,这样可以更方便的观察应用行为。

     编辑过滤条件(先exclude一些条件)->add过滤->应用过滤

     可以添加关注API, 比如:WriteFile操作等。

3、动手测试

写了个简单的小程序,点击按钮在D盘创建一个文件,然后写入一些字符后关闭文件

监控到的应用行为如下

下面一大堆注册表的查询和设置貌似和字体设置sogou有关,暂时不关注了。

为了屏蔽windows程序自动夹杂的各种行为方便观察测试,用控制台写了文件操作程序

逐个输入数字序号执行捕获到行为如下:

有点让我费解的是,程序还没输入数字序号执行前捕获的一大堆行为是什么鬼?有知道的同学麻烦告诉我下,谢谢!

测试程序下载地址:https://download.csdn.net/download/roshy/14355179

 

roshy
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
软件行为监控
04-08
想不想知道运行的软件偷偷在后台都在干什么?有没遇到过浏览网页时听到不错的背景音乐却没办法下载下来?那么现在这些都不是问题了,立即下载即可帮您解决这些问题,此不到1M的绿色小程序速度飞快,实时刷新状态,电脑必备,是您系统的鹰眼!
应用程序行为监控测试用程序
01-15
这是一个用来做应用行为测试观察实验的小程序
Process Monitor下载安装使用教程(图文教程)超详细
最新发布
wangyuxiang946的博客
05-16 5100
结合实战演示如何使用Procmon分析进程。讲解系统进程监视软件Process Monitor常用功能,
process_monitor教程汇总
热门推荐
zhang_sinner的专栏
02-27 3万+
此文收集于网络,我进行了一些整理,分了三个部分如下。 第一部分:一个简要的教程 微软出品用于监视Windows系统里程序的运行情况,监视内容包括该程序对注册表的读写、对文件的读写、网络的连接、进程和线程的调用情况。 可以看出processmonitor是非常强大的一款软件,普通人就不要使用了,这可是电脑高手使用的软件,断线的风筝也谈不上高手,因为process monitor 里面的很多专
Process Monitor 进程监控器 exe监控 windows程序监控
绀目澄清
11-08 3561
以查看 百度网盘 为例。
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 7076
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
应用程序监控
ITmoster的博客
06-16 721
Applications Manager 应用程序监控软件,通过帮助开发人员了解其应用程序最终用户面临的挑战并提出改善客户体验的解决方案,为开发人员提供信息。
Process Monitor工具使用实验(23)
yyj1781572的博客
03-07 2767
本实验主要介绍了ProcessMonitor工具的使用,通过本实验的习,你能够Process Monitor实用小工具的使用,会如何利用Process Monitor工具观察程序进程/线程、文件系统、注册表、网络连接等。
行为监控软件监控什么 行为监控软件下载
2401_83058349的博客
04-24 344
行为监控软件主要用于监控和分析用户的行为模式。这类软件可以监控的内容相当广泛,安企神作为典型的行为监控软件,可以从中窥见软件监控的内容:
技术向:黑客是怎样监控你所有打开EXE程序的?
Y525698136的博客
03-07 542
如何去准确的监控和收集用户每次点击打开的EXE应用程序信息呢?接下来我就进行还原实现下如何准确的监控并收集用户每次点击打开EXE应用程序技术。
计算机网络安全技术:使用Process Monitor监控进程活动.pdf
05-12
4. **网络活动**:如果恶意软件试图连接到互联网发送数据,Process Monitor可以记录下这些网络通信,揭示潜在的恶意网络行为。 实验环境是Windows 2003,需要注意的是,Process Monitor有不同的版本,其中V3.20及更...
程序行为记录与跟踪
10-20
在安全网上逛的时候,突然发现一篇很好的文章!详细阐述了当前流行的api hook技术,rootkit技术和主动防御技术,涉及到深入的操作系统知识,需要一定的功底才能看懂,真的很不错,可以说是一篇难得的教程!现摘选如下: 一. 黑匣子的原理 对于一般用户而言,一个程序从开始运行直到结束,这期间内都做过什么,并不是我们需要关心的事情,他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了,有谁会去关心从用户点击播放器程序图标到音乐响起的时间里,这个程序具体做了什么事情呢?然而,如果面对的程序是恶意软件之流,用户就不得不关心一下它到底对自己的计算机造成什么影响了。 程序在运行期间所进行的操作被称为“程序行为”(Action),一般泛指程序进行的相对表现较明显的操作,例如创建读写文件、访问注册表、连接网络等,而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的,除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”(Tracing),如果要进一步深入,则要使用调试器(Debugger)环境进行汇编级的指令分析,这就是“调试”(Debugging),也可视为更全面的跟踪,因为调试过程可观察到整个程序里的运算和每一步过程。 也许很多用户会觉得,这些复杂技术距离我们很远,甚至会想像为需要复杂设备和程序才能完成,其实,这些技术的应用范围,一直就在我们身边。如果你正在使用一款防毒产品,那么你系统里执行的程序就已经处于被记录行为的状态了;如果你使用HIPS产品,就会更强烈的感受到程序运行被监视着;如果你正在使用调试器,那就不用我说了吧…… 在Windows系统里,至少有三种技术可以实现程序行为的记录,甚至控制程序的某些行为,分别是“虚拟机”(VM)、“API钩子”(API Hooking)和“API跟踪”(API Tracing)。 应用广泛的虚拟机技术 经常提到的虚拟机技术有两种,一种是普遍应用上的虚拟机技术,它是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,此类虚拟机的概念比较广泛,可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare,也可以是介于硬件和编译程序之间的交互介质,如Java虚拟机等;另一种则是反病毒产品中使用的“通用解密器”技术,为了检测一些复杂或者代码加密的病毒,杀毒引擎必须让它运行起来以便自我暴露危险程序行为,但是如果病毒真的在用户计算机里运行了,就违背反病毒产品的初衷了,因此反病毒产品也采取了一种虚拟环境检测方法,这就是虚拟机技术,但是这个技术并非是为病毒提供一套计算机仿真系统,这样就太庞大复杂和消耗资源了,这种虚拟机是指杀毒引擎模拟出一个仿真CPU,这个“CPU”具备和真正CPU等同的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果。
ProcessMonitor程序操作监控
10-22
可以 监控程序运行 细节 程序写入神马的
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作
12-03
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作,localizer、hacker 或 cracker 必备。
ProcessMonitor.zip
03-15
总的来说,ProcessMonitor是一个全面而深入的系统监控工具,它的强大功能可以帮助用户理解系统运行的细节,检测异常行为,保障系统的稳定和安全。无论是日常维护、故障排查还是安全分析,ProcessMonitor都能提供宝贵...
ProcessMonitor(进程监视)
12-16
processmonitor是windows系统下的一款进程监控工具,能够捕获进程对于注册表、文件、线程、网络等资源的各种操作事件,让使用人员能够站在一个更高的视角窥探程序底层对于系统各项资源的使用情况。从应用角度出发,掌握...
Process Monitor v3.53.zip
12-30
其独特的强大功能将使Process Monitor成为系统故障排除和恶意软件搜寻工具包中的核心实用程序。 流程监控器功能概述 Process Monitor具有强大的监视和过滤功能,其中包括: 为操作输入和输出参数捕获更多数据...
ProcessMonitor0102.zip
12-06
2. "Procmon.exe":这是ProcessMonitor的主要执行程序,双击即可运行,开始对系统进行实时监控。 3. "Readme-说明.htm":这是使用说明文档,通常会提供一些安装、配置和使用过程中的注意事项。 4. "Eula.txt":这是...
监测 Windows 应用行为
海纳百川
01-07 2421
监测 Windows 应用行为 当我们安装、运行 Windows程序时,程序可能会包含创建文件夹、修改注册表等一系列行为。但是大部分应用程序的这些行为对于使用者来说都是不可见的。 当我们需要监控一个应用程序干了哪些事情,就可以使用工具: Wise Installation System。该应用程序通过拍摄快照、对比快照的方式可以来展示程序的行为。 安装: 选择SetupCapture: 勾选设置: 对当前主机内容拍摄快照: 执行需要观测的程序: 执行操作后再观测当前主机状态: 完成后就可以在
processmonitor
01-15
Process Monitor 是一款由微软公司开发的系统实用工具,它用于监视 Windows 操作系统中正在运行的进程、文件系统和注册表的活动。通过 Process Monitor,用户可以查看系统中所有正在运行的进程及其相关的文件和注册表活动,从而帮助用户诊断和解决系统中的问题。 Process Monitor 可以显示进程正在执行的实时活动,包括创建、修改和删除文件、注册表项以及其他系统活动。用户可以根据不同的过滤器设置,只查看特定的进程、文件或注册表活动,从而更快地定位问题所在。 此外,Process Monitor 还可以生成日志文件,记录系统的活动情况,帮助用户在系统出现问题时进行故障排查。用户可以随时启动和停止日志记录,以便根据需要对系统进行监视。 总的来说,Process Monitor 是一个功能强大的系统监视工具,对于系统管理员和高级用户来说,它是一个非常有用的工具,能够帮助他们更好地了解系统中进程的活动情况,并快速定位和解决问题。通过 Process Monitor,用户可以提高对系统运行的控制和监控能力,从而提高系统的稳定性和安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值