用Process Monitor观察进程对文件的操作(创建和重命名)

最新推荐文章于 2024-05-16 12:14:12 发布
最新推荐文章于 2024-05-16 12:14:12 发布
阅读量6.7k 收藏 3
点赞数 1
文章标签: cmd include filter 工具 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shamaya/article/details/5998243
版权
  • 然而用它监视进程的动作时往往会产生太多事件,以至于很难判断用户所需要关注的关键步骤在哪。
  • 可以用PM观察进程创建进程创建一个新文件的动作。
  • 可以用PM观察进程把一个文件重命名为另一个文件的动作。

在有些场合,知道进程创建和重命名文件是很有用的!!(什么场合?见仁见智!)

 

=======================创建文件部分===========

办法如下:

 

主要思路:用CMD命令创建一个文件(用其它工具会生成很多额外的事件),然后观察创建过程

 

1. 过滤CMD以外的其它进程的产生的事件。菜单 -> filter。过滤其它进程如下图([Process Name] [is] [cmd.exe] [Include]),只显示cmd进程的产生的事件。

设置事件过滤器

 

2. 在CMD里运行D:/> D:>D:/aa.txt , 这个命令中开头的D:/>是提示符,是CMD显示给用户的,不需要输入。而其后的命令 D:>D:/aa.txt为手动输入的部分。 这个命令会在D盘也生成新文件aa.txt。

 

3. 再查看PM里的内容(只有创建文件的事件了:))

PM监视结果

 

 

=======================文件重命名文件部分===========

 

1. 还是先调好PM,让它只显示CMD的动作。(参见上一节第一步,当然接着上一节做更好)。把PM里的事件清空

2. 把PM里原来留下来的事件清空(如果有的话)

3. 在CMD里运行D:/>rename aa.txt bb.txt 。该命令把D盘下的文件aa.txt重命名为bb.txt。

4. PM中可以观察到如下结果

 

 

shamaya
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Process Monitor工具监测进程对注册表和文件操作(常用分析工具)
dvlinker的技术专栏
06-23 1万+
本文详细介绍了如何使用Process Monitor工具监测进程对注册表和文件操作活动,并给出了对应的监测范例。
Process Monitor工具使用实验(23)
yyj1781572的博客
03-07 2637
本实验主要介绍了ProcessMonitor工具的使用,通过本实验的学习,你能够学会Process Monitor实用小工具的使用,学会如何利用Process Monitor工具观察程序进程/线程、文件系统、注册表、网络连接等。
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包
m0_60567881的博客
04-16 958
如果安全工程师,可以通过 Wireshark。当我 们拿到一个网站,需要对其信息进行查询,包括 IP 地址、端口扫描等,这里通 过站长之家获取 IP 地址,再在 Wireshark 软件中过滤与该 IP 相关的流量信息。WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件, 再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。通过查看创建文件操作进程过滤,可以发现 WinRAR 相关的文件开启进 程操作,进而发现临时路径,右键 jump to,跳转到该路径。
Process Monitor下载安装使用教程(图文教程)超详细
最新发布
wangyuxiang946的博客
05-16 3273
结合实战演示如何使用Procmon分析进程。讲解系统进程监视软件Process Monitor常用功能,
[知识小节]Process Monitor介绍
网络安全知识分享
03-05 1万+
Process Monitor1、工具基本介绍2、使用场景3、常见用法4、实例分析 1、工具基本介绍 Process Monitor是微软推荐的一款系统监视攻击,能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。它整合了一些工具,其中Folemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。 Filemon:文件监视器 Regmon:注册表监视器 同时。Process Monitor增加了进程ID、用户、进程可靠度等监视项。它的强大功能足以使Process
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 6677
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
Process Monitor 进程监控器 exe监控 windows程序监控
绀目澄清
11-08 3101
以查看 百度网盘 为例。
病毒分析系列3 | 初步动态分析工具使用
SpaceSec的博客
11-02 665
接上篇。使用动态分析工具对病毒进行初步分析,可以确定和获取到病毒的相关操作其实到初步动态分析这一步,很多病毒的基本分析已经可以实现了。但是如果遇到病毒本身具有较强的反调试、反分析的能力,那还需要进行逆向分析。如果有需要,基本分析这一块还可以展开讲讲,欢迎大家反馈。
ProcessMonitor 3.0.3
02-04
2. 文件系统监控:ProcessMonitor 可以追踪文件和目录的创建、删除、命名、读取和写入等操作。这对于调试应用程序、查找文件访问错误或者分析文件系统的性能问题十分有用。 3. 注册表监控:它还能够记录对注册表...
ProcessMonitor
05-15
1. **进程和线程监控**:ProcessMonitor能实时跟踪系统中的进程创建、退出、线程的启动和结束,以及它们之间的相互关系,有助于分析进程间的交互和资源消耗情况。 2. **文件系统监控**:它记录所有文件和目录的操作...
ProcessMonitor X64
05-08
ProcessMonitor能够记录对文件和目录的访问、创建、删除、命名操作,这对于追踪文件系统的异常行为,如病毒的文件篡改或隐藏,提供了有力的支持。 在使用ProcessMonitor时,用户可以设置详细的**事件过滤规则**...
process monitor
08-09
在使用Process Monitor时,你可以观察到每一个进程的启动、退出以及它们对注册表键值的读取、修改、创建和删除操作。这对于调试应用程序、优化系统性能或解决系统问题具有要意义。例如,如果你发现某个程序运行...
windows进程监控
08-20
ProcessMonitor能够记录所有进程文件系统的访问尝试,包括读取、写入、创建、删除和命名操作。这对于调试应用程序、查找导致文件丢失或损坏的原因,以及检测潜在的安全威胁都非常有用。它显示的详细信息包括...
[系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看
神棍之路
12-07 2376
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~前文尝试了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助~作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在
Process Monitor监控目录 - 监控文件被哪个进程操作了。
热门推荐
zhang_sinner的专栏
02-11 1万+
转载请注明: 用Process Monitor监控目录 | 薤叶芸香's blog http://plumgo.cc/trace-folder-using-process-monitor/ 利用之前Windows API的知识,可以实现目录监控的功能,实际上我也实现了,但是如文中所述,当指定目录下操作过多时,会损失部分通知。多少算多呢,解压一个eclipse开发环境的压缩包到监控目录下,
使用Process Monitor探测日志文件是C++程序哪个模块生成的
dvlinker的技术专栏
04-23 1万+
使用Process Monitor探测日志文件是C++程序哪个模块生成的
Process Monitor使用教程
zYongheng的博客
10-02 1808
目录 过滤器 过滤器 ProcessName 排除条件 is:相当于=== is not:相当于!==(谨慎使用) less than:相当于< more than:相当于> begin with:字符串以*开始 ends with:字符串以*...
process monitor教程汇总
imJaron的博客
04-13 4494
这是只一个简单的例子,当然还有更复杂的规则说明,可以参考一下列表里的规则。   最后说下 process monitor 到底有什么用?   除了那些电脑高手喜欢分析程序运行情况外, 还有那些编程人员对程序运行情况的分析, 及查找电脑内是否有 木马的情况等。   第二部分:一个使用实例 ( 微软 Process Monitor 证实“窥私门”事件 )  近期,
processmonitor
01-15
Process Monitor 是一款由微软公司开发的系统实用工具,它用于监视 Windows 操作系统中正在运行的进程文件系统和注册表的活动。通过 Process Monitor,用户可以查看系统中所有正在运行的进程及其相关的文件和注册表活动,从而帮助用户诊断和解决系统中的问题。 Process Monitor 可以显示进程正在执行的实时活动,包括创建、修改和删除文件、注册表项以及其他系统活动。用户可以根据不同的过滤器设置,只查看特定的进程文件或注册表活动,从而更快地定位问题所在。 此外,Process Monitor 还可以生成日志文件,记录系统的活动情况,帮助用户在系统出现问题时进行故障排查。用户可以随时启动和停止日志记录,以便根据需要对系统进行监视。 总的来说,Process Monitor 是一个功能强大的系统监视工具,对于系统管理员和高级用户来说,它是一个非常有用的工具,能够帮助他们更好地了解系统中进程的活动情况,并快速定位和解决问题。通过 Process Monitor,用户可以提高对系统运行的控制和监控能力,从而提高系统的稳定性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值