[转帖][攻防测试工具]系统监控必备工具procexp和procmon
Procexp
procexp:http://d.1tpan.com/tp0895086425(中文版)
http://download.sysinternals.com/files/ProcessExplorer.zip(官網(wǎng))
Procemon
http://d.1tpan.com/tp1332878824? ?? ???(中文版)
http://live.sysinternals.com/Procmon.exe (官網(wǎng))
1.Procexp
圖1.procexp進(jìn)程瀏覽器
啟動(dòng)procexp.exe后,我們可以在你需要查看的進(jìn)程上右鍵>屬性查看,也可以直接雙擊或點(diǎn)擊工具欄上方的手勢按鈕,打開后我們可以看到程序的路徑,參數(shù),線程等等信息,如圖2所示:
圖2.查看進(jìn)程詳細(xì)信息
此處我們可以查看一個(gè)進(jìn)程的文件版本,加載線程,網(wǎng)絡(luò)連接等各方面信息,其中有個(gè)比較有用的功能是校驗(yàn)程序的真?zhèn)?
我們知道目前網(wǎng)絡(luò)上病毒猖狂,偽造的或者被人修改的系統(tǒng)文件比比皆是,在這么多文件里面我們根本難以區(qū)分哪些文件真正屬于微軟原版文件,指不定一個(gè)外表看上去微軟得不能再微軟的程序,實(shí)際上跟微軟一點(diǎn)關(guān)系也沒有,甚至是植入了惡意程序.
當(dāng)一個(gè)程序簽名是微軟的信息,而實(shí)際上被注入第三方線程或者干脆非微軟時(shí),軟件默認(rèn)會(huì)以紫色醒目提示.同時(shí),我們可以查看該進(jìn)程屬性,點(diǎn)擊"verify"按鈕,程序會(huì)自動(dòng)與微軟提供的程序符號(hào)表校對(duì),如果確系微軟文件,將會(huì)在版本信息處標(biāo)識(shí)已校驗(yàn)通過.
反之,如果非微軟的文件,則肯定無法與微軟提供的符號(hào)表相匹配,軟件將會(huì)提示無法驗(yàn)證.如果簽名信息為微軟,而又無法在此處通過驗(yàn)證,那么此時(shí)你就要多留意此文件的安全性了.
1.2 查看程序調(diào)用關(guān)系
圖3.查看程序調(diào)用關(guān)系
一個(gè)程序往往由很多組件組成,程序通過各種調(diào)用關(guān)聯(lián)完成一系列的功能.當(dāng)然,現(xiàn)在的程序編寫多采用標(biāo)準(zhǔn)庫,查看到的也包含系統(tǒng)提供的相關(guān)模塊.
我們可以點(diǎn)擊工具欄上的面板按鈕,也可以按快捷ctrl+l或者ctrl+d,一般多用ctrl+d,軟件將自動(dòng)展開程序的下級(jí)調(diào)用查看面板,我們選擇一個(gè)程序,可以在下方看到相應(yīng)的調(diào)用關(guān)系.
比如我要查看瀏覽器都加載了哪些插件,那么可以啟動(dòng)瀏覽器,然后選擇瀏覽器進(jìn)程,查看起調(diào)用的所有動(dòng)態(tài)鏈接庫.可能大部分都是微軟的公司簽名,那么我們可以點(diǎn)擊公司名稱標(biāo)簽排序,這樣就可以快速地篩選出非微軟的程序了.當(dāng)然,純粹公司名是可以任意偽造的,要驗(yàn)證真?zhèn)握垍⒖记拔?
在進(jìn)程調(diào)用關(guān)系上,我們經(jīng)常可以用于定位某些彈窗軟件.
我們經(jīng)常會(huì)發(fā)現(xiàn)右下角多出個(gè)小窗,小窗內(nèi)播放著各種誘惑的東西,這種廣告多如牛毛,還不知道是誰彈的,那么此功能就派上用場了.
左鍵點(diǎn)住工具欄上的雷達(dá)圖標(biāo)(一般是最后一個(gè)),拖到彈出的小窗上再松開,程序自動(dòng)定位到窗口程序,其程序間的父子關(guān)系一目了然,父進(jìn)程就是罪魁禍?zhǔn)琢?該怎么辦您自己看著辦.
1.3 查找文件占用
其實(shí)是查看程序調(diào)用功能的延伸,本身程序能檢查到各個(gè)文件之間的相互調(diào)用關(guān)系,那么就很好理解此功能的來源了.
我們平常可能會(huì)經(jīng)常用到unlock這種工具刪除被占用的文件,原理也類似,我們可以利用procexp查找占用,然后將占用的程序結(jié)束掉再刪文件,就不用裝unlock了.
有一種程序一啟動(dòng)就會(huì)占用的文件,此時(shí)我們可以將進(jìn)程結(jié)束,然后點(diǎn)擊菜單>file>run/save等功能任意選一個(gè),打開windows的對(duì)話框,在此找到要?jiǎng)h除的文件,右鍵能看到explorer下一樣的菜單,將文件刪除即可.
2.procmon
前面說過了,SYSINTERNALS SOFTWARE收歸微軟后,除了procexp和tcpview,文件和注冊表監(jiān)控工具都已不支持vista以上版本系統(tǒng),取而代之的是集文件,進(jìn)程,注冊表,網(wǎng)絡(luò)監(jiān)控功能為一體的procmon.
procmon集成了:
a.filemon和diskmon的文件讀寫監(jiān)控功能
b.regmon的注冊表讀寫監(jiān)控功能
c.tcpview的網(wǎng)絡(luò)連接監(jiān)控功能
d.procexp的進(jìn)程監(jiān)控功能
process monitor的界面延續(xù)了其集成軟件的風(fēng)格,菜單按鈕基本一致,在最右側(cè)提供了功能過濾區(qū),當(dāng)不需要某個(gè)監(jiān)控功能時(shí)將其置于非按下狀態(tài),則不會(huì)在下方信息顯示框中顯示該功能信息.
?展示區(qū)默認(rèn)展示進(jìn)程名,pid,操作項(xiàng),路徑,操作結(jié)果和相信信息顯示,通過這些信息組合,我們可以知道一個(gè)程序到底做了什么.
這么個(gè)工具抓到的信息量是驚人的,每秒鐘估計(jì)可以抓到系統(tǒng)中事件成百上千個(gè),如果直接一個(gè)個(gè)去看,那么將是個(gè)難以想象的工程量.
對(duì)此,我們需要對(duì)抓到的信息進(jìn)行過濾,最終只顯示我們需要的信息.
? ?? ?? ?? ? 右鍵設(shè)置過濾規(guī)則
針對(duì)文件監(jiān)控結(jié)果,你可以再次進(jìn)入過濾規(guī)則設(shè)置那添加條件,也可以在選擇的事件上右鍵設(shè)置過濾規(guī)則.如不需要關(guān)閉操作的事件,那么在關(guān)閉操作上右鍵>排除關(guān)閉文件,那么對(duì)應(yīng)的關(guān)閉操作都將不展示.
一系列過則過濾后,最終呈現(xiàn)的將是我們需要的信息,從這些信息中我們可以得知該程序做了什么操作,結(jié)果如何等.
右鍵設(shè)置規(guī)則對(duì)初學(xué)者來說十分有用,在哪右鍵就可以針對(duì)哪設(shè)置包含,排除,高亮等規(guī)則,具體可以自己進(jìn)行嘗試.
這里需要說明下,其實(shí)procmon是將所有的時(shí)間都捕獲,所以設(shè)置各種過濾規(guī)則只是顯示的問題.由于捕獲了大量的事件,時(shí)間久了可能出現(xiàn)機(jī)器卡的情況,請適時(shí)將時(shí)間做清除操作.當(dāng)然,我們也可以將時(shí)間保存成文本,便于后續(xù)分析或者轉(zhuǎn)交他人查看.
總結(jié)
以上是生活随笔為你收集整理的[转帖][攻防测试工具]系统监控必备工具procexp和procmon的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SDL教程4——在VS2010中设置SD
- 下一篇: Windows 2003下网络负载平衡(