Procmon 的使用
Procmon 也即是Process Monitor, Procmon是一个系统进程监控软件。 Procmon = Filemon+Regmon,Filemon是专门用来监控系统中的任意文件操作过程,Regmon用来监控注册表的读写操作过程。Procmon其实就是Filemon和Regmon的组合,可以对系统中的任何文件和注册表同时进行监控和记录。通过注册表和文件读写的变化,有利于诊断系统发生故障或者其他恶意软件,病毒和木马。
Procmon 是一种动态监测病毒的工具。不过这个工具的安装并没有现象中那么容易。安装过程中遭遇一个困难:Procmon was unable to allocate sufficient memory to run, Try increasing the size of your page file. 网上很多解释ASLR没有开启,但是ASLR在windows平台是默认开启的,导致ASLR关闭的原因有可能是某个软件屏蔽了ASLR。 这里最好卸载一些无关的软件,比如防火墙,或者软件下载器等。注意卸载之前要对vmware采取snapshot 以方便可以rollback。
图一:Process Monitor 界面
打开procmon之后,会一直或许windows 的系统调用(最快能达到 50,000/min),因为procmon采用是RAM来记录这些信息,采集时间过长有可能导致虚拟机崩溃。在段时间内运行procmon之后,要采用File->Capture Events 使procmon暂停。从图一中可以看到,process Moniter显示Time of day (Time stamp), Process Name, PID, Operation, Path, Result, Detail. Procmon的信息量通常过大,要采用Filter->Filter进行信息过滤。图一中其实已经对operation进行了RegSetValue进行过滤。
图二:Procmon的Properties
选中一个exe,击右键,可以查看properties,选择Jump To..可以跳转到相应的windows注册表位置。这里截取一个用procmon检查病毒的案例。
图三:病毒....
利用Jump To...直接跳到GAC下的问题Folder,检查一下权限,该目录只剩下SYSTEM 和 Administrator有权限,所以用NETWORK SERVICE 执行w3wp.exe无法执行。所以补上权限,自然就能执行了。
Reference :
http://hi.baidu.com/miny3512/item/f7b5765c08b4bd3495eb0550
Procmon 的使用相关推荐
- [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了Cracer教程的第一篇文章,详细讲解了安全术语.Web渗透流程和Wi ...
- 【Procmon教程1】Procmon介绍
1.基本介绍 Process Monitor是微软推荐的一款系统监视工具,可以实时显示文件系统.注册表(读写).网络链接与进程活动的高级工具.它整合了旧的Sysinternals工具.Filemon与 ...
- 使用ProcMon 输出调试信息
https://github.com/Wintellect/ProcMonDebugOutput 提供者 /*// // Process Monitor Debug Output Header Fil ...
- windows下强大的系统监视工具Procmon(Process Monitor)
windows下强大的系统监视工具Procmon(Process Monitor) 官方:https://docs.microsoft.com/en-us/sysinternals/downloads ...
- Procmon监控软件使用教程
软件的下载链接:https://download.csdn.net/download/lxiao428/10711509 Procmon是微软出品用于监视Windows系统里程序的运行情况,监视内容包 ...
- 【网络编程实践】2.4.2 muduo库安装与 procmon 编译
procmon 源码在 muduo 库下,下面我们通过安装muduo库,编译procmon 源码. 2.4.2.1 安装依赖 muduo库拉取:git clone https://gitee.com/ ...
- ETW绕过PoC测试1--关闭你的ProcMon.exe
Windows 事件跟踪 (ETW) 是一项内置功能,最初设计用于执行软件诊断,如今 ETW 被EDR厂商广泛使用.对 ETW 的攻击会使依赖 ETW 遥测的一整类安全解决方案失效.研究禁用 ETW ...
- Linux Ubuntu20.10 安装Process Monitor(Procmon),以及使用方法
Procmon 源码地址:https://gitee.com/mirrors/procmon-for-linux?_from=gitee_search 安装依赖: sudo apt-get -y in ...
- [系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- linux monitor 命令,Process Monitor(简称Procmon)发布Linux版,附使用方法
微软为Process Monitor(简称Procmon)推出了Linux版本,并且以MIT协议开放源代码了.Procmon是一款进程监控工具,为开发者提供了简便有效的方式来跟踪系统调用(syscal ...
最新文章
- php 调用vs2013 dll文件,VScode能编辑DLL库文件么
- 综合应用题:投票程序(知识点:对象,数组,循环,流,工具类的应用)
- 160 - 6 aLoNg3x.1
- 09 | 队列:队列在线程池等有限资源池中的应用
- 最符合的多载方法有一些無效的引數_SMT小批量贴片加工厂的贴片加工的首件测试方法...
- AsyncTask源代码解析
- php 类里面 session,session类方法
- 编译器vc6 新手使用教程(C、C++)
- 清华姚班毕业生开发新特效编程语言,99行代码实现《冰雪奇缘》,网友:大神碉堡!创世的快乐...
- 罗翔老师转谈记录,不同认知出发//心之所向,素履以往,生如逆旅,一苇以航。
- 成为虚无鸿蒙系统掌控者,飞剑问道:烟雨飞剑破开鸿蒙空间,秦云成第四位鸿蒙掌控者!...
- #.net在技术上远超Java,可是为什么大多数公司还是选择使用Java
- matlab保存pgm图形,matlab读写pgm文件
- CentOS7下docker服务无法启动的一般检查
- 入门人工智能历程,学习西瓜书的体验心得
- PAKDD 2019 中国企业深兰科技夺冠:AutoML 如何推动 AI 应用落地?
- 【上古秘籍】之Eclipse的秘籍
- linux mandatory
- 从CSDN博客下载的图片如何无损去水印
- python语音播报天气预报_python让生活更有趣--来个语音天气助手吧