使用ProcMon及windows symbols进行文件操作类API定位

最新推荐文章于 2022-05-03 10:37:12 发布
最新推荐文章于 2022-05-03 10:37:12 发布
阅读量2.9k 收藏 1
点赞数
文章标签: windows api exe dll 微软 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytfrdfiw/article/details/5067437
版权

      一直想使用ProcMon进行文件操作类API跟踪,但一直未能成功,今天终于实现,现与大家分享。

    我使用的是ProcMon2.8,大家到微软网站下载适合自己操作系统版本的Symbols文件。安装Symbols文件后,打开ProcMon,选择Options->Configure Symbols,弹出如下对话框

 

 

图一

 

请在SymbolPaths下填写你的Symbols文件所在路径,我的是c:/windows/Symbols;同时最为重要的一点,请将对应的DLLEXE文件所在路径填写,如Kernel32.dll一般在c:/windows/system32/;目录下,驱动一般在c:/windows/System32/drivers; 此乃成功之关键。呵呵。

至此,你可以开始捕获数据,然后暂停捕获,选择一个如文件处理类的event,双击,选择Stack,出现如下对话框,一切尽在掌握中。呵呵。

图二

 

 

希望对你有帮助。如果有问题,请沟通。

 

 

ytfrdfiw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
procmon】进程监控实现(一)
Nanobobo在学习
07-30 2491
来来回回用了好几天折腾崩掉了三个虚拟机,终于把程序跑通了,现在把其中的坑记录一下,爬坑是要长经验的,切记! 在这个时间段,记录下这些坑,给自己第一篇技术博客开个头: 前期准备: 我用的是Ubuntu16.04 1.vim安装与使用 sudo apt-get install vim 后面由于要装不少东西,这里修改了apt的源。 源文件备份 sudo cp /etc/apt/sourc...
openprocmon:开源过程监控器
05-08
Openprocmon 开源过程监控器 菜单 如何使用 使用procmon gui。 (生成并运行procmon_gui.exe) 在您的专案中使用SDK(建立并连结SDK) 破解驱动程序以实现您自己的EDR或其他功能。 您自己没有数字签名? 没关系您可以使用原始procmon驱动程序,此sdk与原始procmon驱动程序100%兼容。 当然,原始的procmon驱动程序可以替换为该驱动程序,以了解procmon的工作方式。 如何建造 准备环境 WDK 安装最后一个WDK WTL 下载最后一个WTL库,然后将其放在任何您喜欢的文件夹中。 例如,我将其放在“ D:\ source \ WTL10_9163”中 视觉工作室 打开procmon.sln使用Visual Studio 将procmon_gui的附加包含目录从“ D:\ source \ WTL10_9163 \
procmon符号配置
darthas的专栏
08-27 1704
在Options-Configure Symbols里设置,似windbg的设置那样 srv*D:\Symbols*http://symbol1.corp.qihoo.net/QihooSymbols/index.php;c:\windows\system32;c:\windows\;c:windows\system32\drivers 某些情况符号就是加载不了,设置环境变量DB
【网络编程实践--陈硕】2.4.4 procmon 程序的设计实现
专注于C/C++/Linux领域创作
12-01 992
procmon 设计思想 要如何实现这样一个 procmon 程序。 从框架的设计上我们可以采用(主动式监控的)侵入式设计,也可以使用(被动式监控的)非侵入式设计,同时针对web页面中的绘图功能也有多种解决方案。 侵入式 or 非 侵入式:(Intrusive or non-intrusive) 侵入式:将程序做成一个库,被监控程序主动使用该库暴露其内部状态。 优点:可以暴露其内部数据,例如运行期间收到多少次请求、成功/失败次数、响应情况、延迟等。因为侵入式监控程序,和被监控的程序在同一个地址空间中,
Procmon Monitor简介
踏雪无痕
12-20 3579
这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。   此版本的 Process Monitor 增加了多项重要增强功能,包括稳定性和性能改进,强大的过滤选项,修正的进程树对话框(增加了进程存活时间图表),可根据点击位置变换的右键菜单过滤条目,集成带源代码存储的堆栈跟踪对话框,更快的堆栈跟踪,可在 6
49.Procmon软件基本用法及文件进程、注册表查看1
08-03
【网络安全自学篇】 Procmon软件基本用法及文件进程、注册表查看 一、Procmon基本介绍 Procmon,全称Process Monitor,是由微软Sysinternals团队开发的一款强大的系统监控工具。它能够实时记录系统中发生的各种...
Windows进程监视器(Procmon-微软官网版本)
02-16
3. **Procmon64a.exe** 和 **Procmon64.exe**: 这两个文件是64位版本的Procmon,用于64位Windows操作系统。 4. **Eula.txt**: 许可协议文件,用户在使用Procmon之前应阅读并同意其中的条款。 总结来说,Windows...
Windows 操作系统上的系统监视和分析
最新发布
06-05
使用 Procmon64,用户可以实时监视系统中的文件和注册表操作,查看进程和线程的活动,捕获系统事件,并可以将监视结果导出为日志文件以供后续分析。Procmon64 是一款非常实用的工具,尤其对于系统管理员、开发人员和...
procmon-parser:解析器以处理监视器文件格式
02-04
Procmon使用内部文件格式进行配置( PMC )和日志( PML )。 在procmon-parser之前, PMC文件只能由Procmon GUI解析和生成,而PML文件只能使用Procmon GUI或通过使用Procmon命令行将其转换为CSV或XML来读取。 ...
windows系统监视工具Procmon
10-19
windows系统监视工具 ...Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。
恶意代码分析实战
09-20
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。, 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行文件读写操作
12-03
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行文件读写操作,localizer、hacker 或 cracker 必备。
Linux C/C++网络编程实战-陈硕-笔记23-procmon代码解析
AnitaSun的博客
05-03 603
#include "plot.h" #include <muduo/base/FileUtil.h> #include <muduo/base/ProcessInfo.h> #include <muduo/net/EventLoop.h> #include <muduo/net/http/HttpRequest.h> #include <muduo/net/http/HttpResponse.h> #include <muduo/net/h
《恶意代码分析实战》第3章 动态分析基础技术(课后实验Lab 3)
qq_43443410的博客
07-18 2110
第3章 动态分析基础技术(实验)Lab 3-11.1 找出这个恶意代码的导入函数与字符串列表?1.2 这个恶意代码在主机上的感染迹象特征是什么?1.3 这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?Lab 3-22.1 你怎样才能让这个恶意代码自行安装?2.2 在安装之后,你如何让这个恶意代码运行起来?2.3 你怎么能找到这个恶意代码是在哪个进程下运行的?2.4 你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?2.5 这个恶意代码在主机上的感染迹象特征是什么?2
Procmon监控软件使用教程
热门推荐
lxiao428的博客
10-10 2万+
软件的下载链接:https://download.csdn.net/download/lxiao428/10711509 Procmon微软出品用于监视Windows系统里程序的运行情况,监视内容包括该程序对注册表的读写、对文件的读写、网络的连接、进程和线程的调用情况,procmon是一款超强的系统监视软件。 下载完成之后,直接启动procmon.exeprocmon会自动扫描分析系统当...
dll oem证书导入工具_探索DLL搜索顺序劫持的原理和自动化侦查方法
weixin_39585795的博客
11-29 163
一、前言在本篇文章中,将描述动态链接库(DLL)搜索顺序劫持的改建,以及攻击者可能如何将其用于Windows系统上的用户态持久性。这种技术可以对应到MITRE ATT&CK框架中的T1038:DLL搜索顺序劫持。由于种种原因,DLL劫持对于攻击者来说很有帮助,但本文将重点介绍与自动启动应用程序结合使用的持久化用法。例如,在默认情况下,Slack和Microsoft Teams会在...
恶意代码分析实战 Lab13
baidu_41108490的博客
06-01 1268
lab13-0112首先调用sub_401300函数程序是一系列的资源操作函数,目的是找到资源存到内存在调用401190解密,可以到,是在和3bh进行异或解密,最后把数据地址传回我们用resourcehaacker看一下把它保存二进制文件再用winhex打开,再把数据异或3bh,得到一个url接着看程序,调用WSAStartup,wsa启动命令然后两个sleep(分别睡了500ms和30000ms...
动态恶意软件分析工具介绍
myguaicai的博客
11-08 1657
动态恶意软件分析工具介绍 网络安全观察者 在本教程中,我们将介绍动态恶意软件分析工具,用于了解恶意软件执行后的行为。本教程是我们恶意软件分析教程中的第2部分。如果您尚未阅读本系列的第1部分,请先阅读本系列教程1,然后再继续这一篇。 在本教程中,我们将介绍用于在虚拟机中执行恶意软件后分析活动的动态恶意软件分析工具。我们将分别介绍ProcmonProcess Explorer,Regshot,ApateDNS,Netcat,Wireshark以及INetSim等工具来进行恶意软件的分析。动态恶意软件分析
文档翻译第002篇:Process Monitor帮助文档(Part 2)
Gleam的专栏
10-28 2567
【筛选与高亮显示】         Process Monitor提供了一些方式来配置筛选器和高亮显示。         筛选器的包含与排除         您可以在筛选器中指定事件的属性,这样就可以令Process Monitor仅显示或排除与您所指定的属性值相匹配的事件。所有的筛选器都是无损检测,也就是说这仅会对Process Monitor显示事件的方式产生影响,而不会影响潜在的事件数
procmon 下载
11-02
使用 Procmon,用户可以详细了解系统和应用程序执行期间发生的活动,包括文件的读写操作、注册表的读写操作、进程和线程的创建和关闭、网络连接的建立和关闭等。当出现问题时,通过分析 Procmon 的监视日志,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值