Procmon是一款强大的系统监控工具,结合了Filemon和Regmon的功能,用于监控文件和注册表操作。它在诊断系统故障、恶意软件、病毒等问题时非常有用。文章提到了在安装和使用Procmon时可能遇到的内存分配问题,建议卸载某些软件并调整设置。Procmon提供的详细信息包括时间戳、进程名、操作、路径和结果,但过多的数据需要通过过滤来有效分析。通过Properties功能,可以跳转到注册表位置进行问题排查,如在病毒检测案例中检查权限问题。
Procmon 也即是Process Monitor, Procmon是一个系统进程监控软件。 Procmon = Filemon+Regmon,Filemon是专门用来监控系统中的任意文件操作过程,Regmon用来监控注册表的读写操作过程。Procmon其实就是Filemon和Regmon的组合,可以对系统中的任何文件和注册表同时进行监控和记录。通过注册表和文件读写的变化,有利于诊断系统发生故障或者其他恶意软件,病毒和木马。
Procmon 是一种动态监测病毒的工具。不过这个工具的安装并没有现象中那么容易。安装过程中遭遇一个困难:Procmon was unable to allocate sufficient memory to run, Try increasing the size of your page file. 网上很多解释ASLR没有开启,但是ASLR在windows平台是默认开启的,导致ASLR关闭的原因有可能是某个软件屏蔽了ASLR。 这里最好卸载一些无关的软件,比如防火墙,或者软件下载器等。注意卸载之前要对vmware采取snapshot 以方便可以rollback。
图一:Process Monitor 界面
打开procmon之后,会一直或许windows 的系统调用(最快能达到 50,000/min),因为procmon采用是RAM来记录这些信息,采集时间过长有可能导致虚拟机崩溃。在段时间内运行procmon之后,要采用File->Capture Events 使procmon暂停。从图一中可以看到,process Moniter显示T
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
