Process Monitor是Windows的高级监控工具,可实时监控文件系统,注册表和进程/线程活动。
包括丰富的过滤器,全面的事件属性过滤,例如会话ID和用户名。带有集成符号的完整线程堆栈,支持每个文件操作,同时记录到文件等。
它独特的强大功能使Process Monitor成为系统故障排除和恶意软件搜索工具包中的核心程序。
在本教程中,我们将说明如何在Windows使用Process Monitor监控并分析应用程序的行为,包括分析应用读取,写入的文件以及如何使用Process Monitor过滤器。
要使用Process Monitor的分析应用程序的行为,就必须Process Monitor的过滤器进行过滤。
接下来打开Process Monitor你将看到如下简单且适用的界面。然后创建Process Monitor过滤器规则。
我们将以QQ为例,简单说说如何找到QQ所有读取的文件。第一步找到QQ的进程所有操作,这里以TIM.exe作为示例。
第二步找到TIM.exe都读取那些文件。第三步排除TIM.exe自身创建的文件。也就是说我们需要创建三个过滤器。
点击Process Monitor工具栏Filter。在弹出的菜单中,点击Filter...,我们将这里一步一步的创建过滤器。
在Archtecture下拉栏中选择Command Line,在is下拉栏中选择contains,空白的输入框中键入TIM.exe。
然后点击Add,接着点击Apply,再点击OK。经过这个过滤器后我们知道找到QQ的进程所有操作。
这些操作包括文件系统的读与写,注册表,网络等等一系列操作。如下图界面所示。
找到了TIM.exe所有操作后,你会发现记录不只是那么几条,很多在操作在我们的屏幕显示。
有很多还不是我们要关心的,但是有一个操作是我们需要重点关注,那就是ReadFile。
继续添加过滤器,在Archtecture下拉栏中选择Operation,在is下拉栏中选择is,空白的输入框中键入ReadFile。
然后点击Add,再点击Apply,最后是点击OK。你将会看到进读取文件的程所有操作。
经过第二步的过滤器后你会看到很多读取文件操作的路径都包含Tencent的字样。TIM.exe读取这些目录是自身创建的。
因此也不是我们需要关心。我们要将它排除,继续添加过滤器,打开添加过滤器的界面。
在Archtecture下拉栏中选择Operation,在is下拉栏中选择contains,空白的输入框中键入Tencent,then旁边的下拉栏选择Exclude。
然后点击Add,接着Apply,再点击OK。你将会看到TIM.exe读取除自身创建的文件目录之外的文件。
至此,你已经熟悉如何在Windows使用 Process Monitor分析应用程序行为,它可以帮助排查进程的问题。
当然也可以帮助你找到流氓应用,将自己数据保护起来。例如我们在教程提到的如何在Windows 保护个人隐私数据。