使用ProcMon及windows symbols进行文件操作类API定位

最新推荐文章于 2024-10-03 09:12:29 发布
最新推荐文章于 2024-10-03 09:12:29 发布
阅读量3k 收藏 1
点赞数
文章标签: windows api exe dll 微软 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytfrdfiw/article/details/5067437
版权

      一直想使用ProcMon进行文件操作类API跟踪,但一直未能成功,今天终于实现,现与大家分享。

    我使用的是ProcMon2.8,大家到微软网站下载适合自己操作系统版本的Symbols文件。安装Symbols文件后,打开ProcMon,选择Options->Configure Symbols,弹出如下对话框

 

 

图一

 

请在SymbolPaths下填写你的Symbols文件所在路径,我的是c:/windows/Symbols;同时最为重要的一点,请将对应的DLLEXE文件所在路径填写,如Kernel32.dll一般在c:/windows/system32/;目录下,驱动一般在c:/windows/System32/drivers; 此乃成功之关键。呵呵。

至此,你可以开始捕获数据,然后暂停捕获,选择一个如文件处理类的event,双击,选择Stack,出现如下对话框,一切尽在掌握中。呵呵。

图二

 

 

希望对你有帮助。如果有问题,请沟通。

 

 

ytfrdfiw
关注
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
杨秀璋的专栏
02-26 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助。
Windows进程监视器(Procmon-微软官网版本)
02-16
Windows进程监视器(Procmon-微软官网版本)
procmon】进程监控实现(一)
Nanobobo在学习
07-30 2542
来来回回用了好几天折腾崩掉了三个虚拟机,终于把程序跑通了,现在把其中的坑记录一下,爬坑是要长经验的,切记! 在这个时间段,记录下这些坑,给自己第一篇技术博客开个头: 前期准备: 我用的是Ubuntu16.04 1.vim安装与使用 sudo apt-get install vim 后面由于要装不少东西,这里修改了apt的源。 源文件备份 sudo cp /etc/apt/sourc...
深入探索系统进程监视工具procmon
最新发布
weixin_33582089的博客
10-03 1072
本文还有配套的精品资源,点击获取 简介:ProcMon是一个由Sysinternals团队开发的系统级监控工具,实时记录文件系统、注册表和网络活动,帮助管理员和开发者诊断和调试系统问题。它监视进程活动,记录进程创建与终止,父子关系,以及系统资源使用情况,优化性能。ProcMon还提供文件操作和注册表监视,过滤功能以及数据导出选项,使得分析和问题解决变得高效。常用于故障排除、...
procmon符号配置
darthas的专栏
08-27 1772
在Options-Configure Symbols里设置,似windbg的设置那样 srv*D:\Symbols*http://symbol1.corp.qihoo.net/QihooSymbols/index.php;c:\windows\system32;c:\windows\;c:windows\system32\drivers 某些情况符号就是加载不了,设置环境变量DB
借助Process Monitor(ProcMon.exe)逆向一个CrackMe
lixiangminghate的专栏
06-27 1257
一位名为Arkantos的作者,在Crackmes.cf(Crackme.de的镜像站点)站点上提交了一个Crackme,难度级别为1-very_easy_for_newbies。这种入门级别的Crackme其实不足以写博客,只是它的逆向过程正好可以用Process Monitor来完成,写这篇文章就当做Process Monitor的一个实例吧。 作者信誓旦旦的说该crack...
【网络编程实践--陈硕】2.4.4 procmon 程序的设计实现
专注于C/C++/Linux领域创作
12-01 1036
procmon 设计思想 要如何实现这样一个 procmon 程序。 从框架的设计上我们可以采用(主动式监控的)侵入式设计,也可以使用(被动式监控的)非侵入式设计,同时针对web页面中的绘图功能也有多种解决方案。 侵入式 or 非 侵入式:(Intrusive or non-intrusive) 侵入式:将程序做成一个库,被监控程序主动使用该库暴露其内部状态。 优点:可以暴露其内部数据,例如运行期间收到多少次请求、成功/失败次数、响应情况、延迟等。因为侵入式监控程序,和被监控的程序在同一个地址空间中,
推荐开源项目:ProcMonX — 高级进程监控工具
gitblog_00059的博客
05-22 451
推荐开源项目:ProcMonX — 高级进程监控工具 ProcMonXExtended Process Monitor-like tool based on Event Tracing for Windows项目地址:https://gitcode.com/gh_mirrors/pr/ProcMonX 一、项目介绍 ProcMonX 是一款基于事件追踪(Event Tracing for Win...
49.Procmon软件基本用法及文件进程、注册表查看1
08-03
【网络安全自学篇】 Procmon软件基本用法及文件进程、注册表查看 一、Procmon基本介绍 Procmon,全称Process Monitor,是由微软Sysinternals团队开发的一款强大的系统监控工具。它能够实时记录系统中发生的各种...
procmon-parser:解析器以处理监视器文件格式
02-04
Procmon使用内部文件格式进行配置( PMC )和日志( PML )。 在procmon-parser之前, PMC文件只能由Procmon GUI解析和生成,而PML文件只能使用Procmon GUI或通过使用Procmon命令行将其转换为CSV或XML来读取。 ...
openprocmon:开源过程监控器
05-08
Openprocmon 开源过程监控器 菜单 如何使用 使用procmon gui。 (生成并运行procmon_gui.exe) 在您的专案中使用SDK(建立并连结SDK) 破解驱动程序以实现您自己的EDR或其他功能。 您自己没有数字签名? 没关系您可以使用原始procmon驱动程序,此sdk与原始procmon驱动程序100%兼容。 当然,原始的procmon驱动程序可以替换为该驱动程序,以了解procmon的工作方式。 如何建造 准备环境 WDK 安装最后一个WDK WTL 下载最后一个WTL库,然后将其放在任何您喜欢的文件夹中。 例如,我将其放在“ D:\ source \ WTL10_9163”中 视觉工作室 打开procmon.sln使用Visual Studio 将procmon_gui的附加包含目录从“ D:\ source \ WTL10_9163 \
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行文件读写操作
12-03
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行文件读写操作,localizer、hacker 或 cracker 必备。
windows系统监视工具Procmon
10-19
windows系统监视工具 ...Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。
Procmon Monitor简介
踏雪无痕
12-20 3605
这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。   此版本的 Process Monitor 增加了多项重要增强功能,包括稳定性和性能改进,强大的过滤选项,修正的进程树对话框(增加了进程存活时间图表),可根据点击位置变换的右键菜单过滤条目,集成带源代码存储的堆栈跟踪对话框,更快的堆栈跟踪,可在 6
Linux C/C++网络编程实战-陈硕-笔记23-procmon代码解析
AnitaSun的博客
05-03 652
#include "plot.h" #include <muduo/base/FileUtil.h> #include <muduo/base/ProcessInfo.h> #include <muduo/net/EventLoop.h> #include <muduo/net/http/HttpRequest.h> #include <muduo/net/http/HttpResponse.h> #include <muduo/net/h
symbol的api总结
qq_43889848的博客
07-17 377
//symbol //1.字符串作为参数 var s1=Symbol("foo") var s2=Symbol("bar") console.log(s1,"s1")//Symbol("foo") console.log(s2,"s2")//Symbol("bar") //2.对象作为参数 var obj={ toString:function(){ return "abc" } } var s3=Symbol(obj) console.log(s3,"s3")//Symbol.
Procmon打开后无反应的问题
dizhifu3111的博客
09-30 417
某天在其他电脑上打开Procmon的时候发现没有反应 怀疑是不是被拦截了 于是对Procmon进行加壳以及改程序名称 依然不行 最后OD跟踪发现 需要打开Netlogon服务 转载于:https://www.cnblogs.com/Potato-Eater/p/7614728.html...
Win7 安装最新版本Process Monitor失败,“无法加载驱动”
wang1791499553的博客
10-17 4118
Win7 安装最新版本Process Monitor失败,“无法加载驱动”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值