一、基础知识

命令行选项:本人最常用的命令行是 /AcceptEula 自动接受最终用户许可协议,不显示对话框

d2b5ca33bd192441.png

最快加载项:Userinit项应该是已知的应用程序启动最早的一个启动项,既然我们的目的是要监视进程的操作,那肯定是启动越早越好了。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,C:\MySP\调试工具\ProcessMonitor\ProcessMonitor-v3.10.exe /AcceptEula,"

二、环境搭建

在开启监控调试之前,一定要准备一个纯净的系统环境,这样得出的监视结果才可能最追求。以无盘系统为例,新建初始配置,挂盘升级无盘客户端;然后开超级,激活系统,装一个远程工具,设置好Process Monitor的启动项,这样一个干净的调试环境就做好了。

20231005164348.jpg

20231005164427.jpg

20231005164438.jpg

20231005164450.jpg

20231005164458.jpg

三、使用方法

1,捕获

软件启动后默认进入捕获状态,只要你不暂停,它就会一直捕获系统所有进程的操作。随着时间的推移,捕获到的事件越来越多,所占用的系统资源也就越来越多。一般情况下,都是监控完所要监控的软件操作后,就给暂停掉,快捷键Ctrl+E。

eddb14cb97201044.png

2,进程树

最常用的功能之一,用以监控某个软件都打开了哪些进程,就算消失了,再进程树内也可以看到。点击工具栏如下图标,就可以很清楚的看到历史上哪些进程都开启了哪些子进程,哪个子进程又属于那个父进程。双击进程树内的进程,可以立即定位到该进程的第一次启动事件。

70c32e55f3202255.png

进程树功能,主要用于回溯进程启动历史,其中包括进程的启动时间,结束时间,用户名,进程PID,启动命令行等信息……还可以方便我们快速定位要查看的进程所在日志位置。

3,信息过滤

Process Monitor启动后,会捕获所有的进程的信息,正常监视十来分钟,事件条目就能上百万;如果想在上百万条日志里面找到自己想要的信息,就需要熟练使用信息过滤功能了。

70c32e55f3203815.png

包含该进程之后,软件会列出该进程的所有操作,如:注册表活动日志,文件系统活动日志,网络活动,进程和线程活动信息。我们可以用过勾选或者取消相关类型,来灵活显示其活动日志。如下图演示的,只显示H5game.exe的文件活动日志。

81f829ffe1204033.png

a341726993204533.png

当然, 要想显示回其它信息,只需要删除对应的筛选条件即可。

61a350b618204942.png

PS:信息过滤功能为所有监视类软件的最核心功能,需要熟练掌握改操作。

4,瞄准枪

当有一些窗口不知道其对应进程的时候,可以使用该功能进行快速定位。

d2b5ca33bd205704.png

5,查找

当一个文件不知其来源的时候,我们就可以使用查找功能,快速定位。

61a350b618210028.png

总结

Process Monitor是一个很好很好的进程监控软件,这篇文章介绍了其大概使用方法和常用功能。熟练使用这些功能,可以帮助你快速解决工作当中遇到的问题。

当然,有一些恶性木马病毒。会检测Process Monitor或者火绒之类的监视软件,一旦发现其运行,就会自动退出或者干脆就不干那些见不得人的勾当了,遇到这类情况要学会使用其它驱动级监控分析软件辅助排查。