[转帖][攻防测试工具]系统监控必备工具procexp和procmon

最新推荐文章于 2024-03-06 16:07:58 发布
最新推荐文章于 2024-03-06 16:07:58 发布
阅读量2.2k 收藏
点赞数
软件下载

Procexp
procexp:http://d.1tpan.com/tp0895086425(中文版)
http://download.sysinternals.com/files/ProcessExplorer.zip(官网)

Procemon
http://d.1tpan.com/tp1332878824        (中文版)
http://live.sysinternals.com/Procmon.exe (官网)

1.Procexp

图1.procexp进程浏览器

启动procexp.exe后,我们可以在你需要查看的进程上右键>属性查看,也可以直接双击或点击工具栏上方的手势按钮,打开后我们可以看到程序的路径,参数,线程等等信息,如图2所示:

procexp_proinfo-258x300.png

图2.查看进程详细信息

此处我们可以查看一个进程的文件版本,加载线程,网络连接等各方面信息,其中有个比较有用的功能是校验程序的真伪.

我们知道目前网络上病毒猖狂,伪造的或者被人修改的系统文件比比皆是,在这么多文件里面我们根本难以区分哪些文件真正属于微软原版文件,指不定一个外表看上去微软得不能再微软的程序,实际上跟微软一点关系也没有,甚至是植入了恶意程序.

当一个程序签名是微软的信息,而实际上被注入第三方线程或者干脆非微软时,软件默认会以紫色醒目提示.同时,我们可以查看该进程属性,点击"verify"按钮,程序会自动与微软提供的程序符号表校对,如果确系微软文件,将会在版本信息处标识已校验通过.

反之,如果非微软的文件,则肯定无法与微软提供的符号表相匹配,软件将会提示无法验证.如果签名信息为微软,而又无法在此处通过验证,那么此时你就要多留意此文件的安全性了.



1.2 查看程序调用关系procexp_ctrld-300x237.png

图3.查看程序调用关系














一个程序往往由很多组件组成,程序通过各种调用关联完成一系列的功能.当然,现在的程序编写多采用标准库,查看到的也包含系统提供的相关模块.

我们可以点击工具栏上的面板按钮,也可以按快捷ctrl+l或者ctrl+d,一般多用ctrl+d,软件将自动展开程序的下级调用查看面板,我们选择一个程序,可以在下方看到相应的调用关系.


比如我要查看浏览器都加载了哪些插件,那么可以启动浏览器,然后选择浏览器进程,查看起调用的所有动态链接库.可能大部分都是微软的公司签名,那么我们可以点击公司名称标签排序,这样就可以快速地筛选出非微软的程序了.当然,纯粹公司名是可以任意伪造的,要验证真伪请参考前文.

在进程调用关系上,我们经常可以用于定位某些弹窗软件.

我们经常会发现右下角多出个小窗,小窗内播放着各种诱惑的东西,这种广告多如牛毛,还不知道是谁弹的,那么此功能就派上用场了.

左键点住工具栏上的雷达图标(一般是最后一个),拖到弹出的小窗上再松开,程序自动定位到窗口程序,其程序间的父子关系一目了然,父进程就是罪魁祸首了,该怎么办您自己看着办.


1.3 查找文件占用

其实是查看程序调用功能的延伸,本身程序能检查到各个文件之间的相互调用关系,那么就很好理解此功能的来源了.

我们平常可能会经常用到unlock这种工具删除被占用的文件,原理也类似,我们可以利用procexp查找占用,然后将占用的程序结束掉再删文件,就不用装unlock了.

有一种程序一启动就会占用的文件,此时我们可以将进程结束,然后点击菜单>file>run/save等功能任意选一个,打开windows的对话框,在此找到要删除的文件,右键能看到explorer下一样的菜单,将文件删除即可.




2.procmon

前面说过了,SYSINTERNALS SOFTWARE收归微软后,除了procexp和tcpview,文件和注册表监控工具都已不支持vista以上版本系统,取而代之的是集文件,进程,注册表,网络监控功能为一体的procmon.

procmon集成了:

a.filemon和diskmon的文件读写监控功能

b.regmon的注册表读写监控功能

c.tcpview的网络连接监控功能

d.procexp的进程监控功能


process monitor的界面延续了其集成软件的风格,菜单按钮基本一致,在最右侧提供了功能过滤区,当不需要某个监控功能时将其置于非按下状态,则不会在下方信息显示框中显示该功能信息.

procmon_-300x218.png 

展示区默认展示进程名,pid,操作项,路径,操作结果和相信信息显示,通过这些信息组合,我们可以知道一个程序到底做了什么.

这么个工具抓到的信息量是惊人的,每秒钟估计可以抓到系统中事件成百上千个,如果直接一个个去看,那么将是个难以想象的工程量.

对此,我们需要对抓到的信息进行过滤,最终只显示我们需要的信息.

procmon_filterexclude-300x96.png

             右键设置过滤规则







针对文件监控结果,你可以再次进入过滤规则设置那添加条件,也可以在选择的事件上右键设置过滤规则.如不需要关闭操作的事件,那么在关闭操作上右键>排除关闭文件,那么对应的关闭操作都将不展示.

一系列过则过滤后,最终呈现的将是我们需要的信息,从这些信息中我们可以得知该程序做了什么操作,结果如何等.

右键设置规则对初学者来说十分有用,在哪右键就可以针对哪设置包含,排除,高亮等规则,具体可以自己进行尝试.

这里需要说明下,其实procmon是将所有的时间都捕获,所以设置各种过滤规则只是显示的问题.由于捕获了大量的事件,时间久了可能出现机器卡的情况,请适时将时间做清除操作.当然,我们也可以将时间保存成文本,便于后续分析或者转交他人查看.


shiwenli521
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows exe可执行文件监视器
04-21
对于需要监视的某个exe可执行文件,确保它一直在运行,或宕掉后需要自动启动该进程,则可以通过进程监视器程序,实时监视该进程是否存在,不存在则进程监视器会将此进程启动。示例中用windows自带的画图作为监视进程,启动后,直接打开画图,如果关闭,或结束画图的进程,则还会自动打开,只要不关闭监视器,则画图就无法关闭
procexpprocmon
11-24
系统监控必备工具procexpprocmon Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。
ProcExp软件运行内存过高分析
最新发布
xsinlink的博客
03-06 906
ProcExp软件运行内存过高这个问题分析起来虽然不困难,但是这个是作为一个软件问题分析的典型,在这里文章记录一下相关过程,如果有更好的排查思路,希望大家能够指正和交流。当然这也是软件开发中一个典型的城门失火,殃及鱼池的案例。Aac3572MbHal_x86.exe泄漏了太多的句柄,没有被使用者发现,但是殃及了ProcExp使用了太多的内存,从而引发的一系列问题。那么是否真的就是Aac3572MbHal_x86.exe这款软件自己的BUG导致句柄的泄漏,还是另外其他的模块导致的呢?
procexp64、进程管理工具
12-25
procexp64怎样用,rocex64是一款进程管理工具。可以方便的对进程进行结束,挂起,新建等操作。十分方便,而且适合于初学者对进程的查看和学习。
procexp.exe
10-26
一个方便查看电脑进程的工具,可疑进程将无处遁形,无需安装,使用方便
procexp64下载
08-18
可在WIndows上分析程序以及运查看程序的环境变量,
ProcessExplorer工具使用(24)
yyj1781572的博客
03-07 6508
Process Explorer(可执行文件名为procexp.exe)是一款由Sysinternals开发的Windows系统和应用程序监视工具,目前Sysinternals已经被微软收购,此款不仅结合了文件监视和注册表监视两个工具的功能,还增加了多项重要的增强功能,此工具支持64位Windows系统,是很多windows开发工程师极力推荐的一款编码和调试中使用的工具
Procexp.exe —— 强大的进程管理器
热门推荐
逆枫 -- C++/Qt工程师、创业者
07-13 2万+
1,简介 Process Explorer 是一款增强型的任务管理器,你可以使用它方便地管理你的程序进程,能强行关闭任何程序。 除此之外,它还详尽地显示计算机信息:CPU、内存使用情况,DLL、句柄信息,很酷的曲线图...  2,下载地址 百度网盘:http://pan.baidu.com/s/1jHIfyUq 3,使用场景 我一般这些时候使用: (1)更直观查看进程父子关系
windows进程管理小工具procexp.exe查找恶意插件
daiming573的专栏
07-28 935
下载地址 windows工具procexp.exe 十分好用的进程管理工具,可定位弹框插件所属应急,恶意插件卸载。 桌面弹出一些不知名弹框,找不到所属应用可以用process定位弹框所属应用,进行卸载。
Windows系列工具-ProcessExplorer(procexp.exe)
yagerfgcs的博客
05-03 1384
待补充
性能诊断定位之CPU问题排查(一):win10环境1
sulia1234567890的博客
10-11 380
目录 1. 通用排查思路 2. 示例演示 2.1 为模拟有占用CPU高的进程,这里编写一个java程序,无限循环,运行 2.2 通过 Process Explorer软件(procexp.exe)查看线程和进程情况 2.3将2.2中的TID转换为16进制 -> ${tid16} 2.4 打开jvisualVM, dump出线程信息,查找${tid16} (1)在Java安装目录下,找jvisualVM,双击,打开 (2)右键, dump出线程信息 (3)解析dump出的信息,排...
procexp 进程管理软件
06-08
此软件非常强大,一般的进程管理软件只可以查看进程,结束进程,Procexp 可以在 2000 xp 2003 下正常运行,有一般进程管理软件的功能之外,还能搜索dll 结束线程,比如网际快车线程数,结束dll文件加载,这对查杀木马非常有用.所以推荐大家使用
procexp中文版
09-25
管理进程必备软件,中文版,管理进程软件,可查询并管理各种进程
Procexp工具(含32位和64位)
08-06
主要使用的功能: (1)更直观查看进程父子关系,结束指定进程,尤其是存在同名进程时更易识别 (2)看到进程的实时创建、销毁情况 (3)查看进程实时加载模块情况 (经常查看我们的钩子dll是否注入) (4)查看进程内句柄 (检查一些命名内核对象是否创建成功、检查是否存在句柄占用) (5)查看进程的相关属性 (文件路径、位数、版本、命令行等) (6)查看进程的资源占用情况 (CPU、内存) (7)查看进程的线程数、执行情况 (排查一些卡死进程的备用方案) (8)把进程两次运行(一次正常一次异常)的模块和句柄情况输出到文件,进行比对分析 (9)检测各线程耗费的CPU和具体的线程调用堆栈(软件开发调试时经常使用)
procexp ProcessExplorer v16.04 最新版
10-02
借助Process Explorer ,就可以很方便地解决一些和驱动程序有关的SYSTEM 进程问题.win7借助procexp分析SYSTEM进程的CPU占用率为25%左右引起风扇转不停的问题 .
windows下查看线程的cpu占用率工具 procexp
11-25
在windows系统下,默认只能够查看进程的使用情况而不能查看线程的详细信息,使用此工具能够查看所有的线程的详细信息
Sysinternals 实用进程工具-Handle
07-28
NULL 博文链接:https://coffee8.iteye.com/blog/778760
【很实用的两款小工具】系统进程以及线程监控小工具.rar
10-25
很实用的两款小工具攻防测试工具必备: 启动procexp.exe后,我们可以在你需要查看的进程上右键>属性查看,也可以直接双击或点击工具栏上方的手势按钮,打开后我们可以看到程序的路径,参数,线程等等信息, procmon...
windows调试工具
09-02
在Windows平台上,有许多常用的开发与调试工具可供使用。其中一些工具包括: 1. Sysinternals:这是一个由内核专家马克·拉斯科维茨(Mark Russinovich)开发的工具集合,包含了大量的Windows系统工具,是Windows开发必备工具之一。其中一些工具包括: - Procmon.exe:用于监视程序运行过程中的动作,可用于性能监控。 - procexp.exe:类似于任务管理器,但功能更强大,可以查看加载模块、线程列表、创建dump等。 - autoruns.exe:用于查看系统和IE等的加载项。 - Dbgview.exe:用于查看调试端口输出。 2. 其他工具:除了Sysinternals之外,还有其他一些常用的工具,如: - Windbg:用于双机调试,支持pipe、TCP等。 - Visual Studio(VS):VS也支持双击调试,只需要拷贝一个东西到目标机上。 - IDA:主要用于静态分析。 - Ollydbg:用于反汇编和调试。 - Processhacker:作为Procexp.exe的补充工具。 - Total Uninstall:用于观察应用程序对系统配置等的改变,比如对比注册表。 - Unlocker:用于解除文件占用。 - Depends.exe:用于观察模块对DLL的依赖关系。 - PE Explorer:用于PE文件分析。 - SQLiteAdmin:用于查看SQLite数据库。 - Cookie Admin:用于查看cookie。 3. 抓包和网络数据分析:对于抓包和网络数据分析,可以使用以下工具: - Microsoft Network Monitor - Fiddler - Wireshark - HttpAnalyzer 此外,还有一些调试必读的书目,例如张银奎的《软件调试》,以及一些调试参考书目,如《Windows高级调试》、《黑客反汇编揭秘》、《C反汇编与逆向分析技术揭秘》、《Windows核心编程》、《深入理解Windows操作系统》、《Windows内核情景分析》、《逆向工程核心原理》。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [windows客户端开发调试工具](https://blog.csdn.net/baihacker/article/details/38308331)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Windows下的TCP/UDP网络调试工具-NetAssist以及Linux下的nc网络调试工具](https://blog.csdn.net/beiback/article/details/125590011)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值