前面说过了,SYSINTERNALS SOFTWARE收归微软后,除了procexp和tcpview,文件和注册表监控工具都已不支持vista以上版本系统,取而代之的是集文件,进程,注册表,网络监控功能为一体的procmon.
procmon集成了:
a.filemon和diskmon的文件读写监控功能
b.regmon的注册表读写监控功能
c.tcpview的网络连接监控功能
d.procexp的进程监控功能
图5.procmon界面
process monitor的界面延续了其集成软件的风格,菜单按钮基本一致,在最右侧提供了功能过滤区,当不需要某个监控功能时将其置于非按下状态,则不会在下方信息显示框中显示该功能信息.
展示区默认展示进程名,pid,操作项,路径,操作结果和相信信息显示,通过这些信息组合,我们可以知道一个程序到底做了什么.
这么个工具抓到的信息量是惊人的,每秒钟估计可以抓到系统中事件成百上千个,如果直接一个个去看,那么将是个难以想象的工程量.
对此,我们需要对抓到的信息进行过滤,最终只显示我们需要的信息.
图6.过滤规则设置
点击菜单栏上的漏斗图标进入过滤设置菜单.在此我们可以设置过滤条件,点击上端下拉三角,选择我们要过滤的类别,包括公司名称,PID,进程名,路径等,后面继续选择表达式,规则包括等于,不等于,小于,大于等...在此不一一枚举,以一实例示范.
需求:需要监控前面说的进程浏览器的行为.
分析:进程名称随文件名固定,默认为procexp.exe
那么我们可以设定规律规则如图7.
图7.规则设置结果
图中绿色显示的process name is procexp.exe include就是上面选择规则添加后的结果,如果是排除不显示则选择exclude,添加完后为红叉显示.规则设定好后点击确定即开始了新规则过滤显示了,信息显示框只展示进程名为procexp的监控信息.
可能我们只需要某个时刻的信息就行,那么你可以点击菜单栏上的搜索模样的图标停止捕捉.
也许过滤后我们看到的信息仍然很多,我们可以对已经过滤的信息再次进行过滤.
程序集成的四大功能我们可以首先进行过滤掉,如我只需要文件监控信息,那么将其他三个功能块都取消,则会只展示文件监控事件.
图8.右键设置过滤规则
针对文件监控结果,你可以再次进入过滤规则设置那添加条件,也可以在选择的事件上右键设置过滤规则.如不需要关闭操作的事件,那么在关闭操作上右键>排除关闭文件,那么对应的关闭操作都将不展示.
一系列过则过滤后,最终呈现的将是我们需要的信息,从这些信息中我们可以得知该程序做了什么操作,结果如何等.
右键设置规则对初学者来说十分有用,在哪右键就可以针对哪设置包含,排除,高亮等规则,具体可以自己进行尝试.
这里需要说明下,其实procmon是将所有的时间都捕获,所以设置各种过滤规则只是显示的问题.由于捕获了大量的事件,时间久了可能出现机器卡的情况,请适时将时间做清除操作.当然,我们也可以将时间保存成文本,便于后续分析或者转交他人查看.
2491
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
