當前位置：首頁 > 运维知识 > windows >内容正文

windows

系统监控必备工具procexp

發(fā)布時間：2023/12/10 windows 45 豆豆

生活随笔收集整理的這篇文章主要介紹了系统监控必备工具procexp 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

之前寫過一篇簡單的wireshark抓包教程:搗鼓軟件之:網(wǎng)絡抓包利器-wireshark,其中提到過SYSINTERNALS SOFTWARE的幾個經(jīng)典工具.

對軟件行為監(jiān)控首選SYSINTERNALS SOFTWARE出品的系列工具:

regmon---可以監(jiān)控系統(tǒng)注冊表讀寫

filemon---用于監(jiān)控文件讀寫

procexp---用于監(jiān)控進程以及進程關系

tcpview---監(jiān)控進程監(jiān)聽端口,網(wǎng)絡連接行為

鑒于以上軟件功能上互有交集,SYSINTERNALS SOFTWARE收歸微軟后,以上工具除了procexp和tcpview,文件和注冊表監(jiān)控工具都已不支持vista以上版本系統(tǒng),取而代之的是集以上軟件功能為一體的procmon.

今天就稍微詳細點介紹下以上幾個工具中的procexp和procmon,下載地址：

procexp綠色版

procexp64位綠色版

Procmon綠色版

如果下載不了就自己網(wǎng)絡搜索,或者到微軟官方網(wǎng)站去下載.

圖1.procexp進程瀏覽器

procexp全稱process?explorer,這個工具如果經(jīng)常折騰系統(tǒng)或者做軟件調(diào)試的人應該接觸較多.

相比windows系統(tǒng)自帶的任務管理器,其優(yōu)秀之處在于很方便地查看進程相關信息,如進程路徑,參數(shù),線程等,還可以查看tcpip連接,進程關系,占用情況等.

工具雖小,但作用很大,是一款軟件愛好者必備利器.

圖2.查看進程詳細信息

啟動procexp.exe后,我們可以在你需要查看的進程上右鍵>屬性查看,也可以直接雙擊或點擊工具欄上方的手勢按鈕,打開后我們可以看到程序的路徑,參數(shù),線程等等信息,如圖2所示:

此處我們可以查看一個進程的文件版本,加載線程,網(wǎng)絡連接等各方面信息,其中有個比較有用的功能是校驗程序的真?zhèn)?

我們知道目前網(wǎng)絡上病毒猖狂,偽造的或者被人修改的系統(tǒng)文件比比皆是,在這么多文件里面我們根本難以區(qū)分哪些文件真正屬于微軟原版文件,指不定一個外表看上去微軟得不能再微軟的程序,實際上跟微軟一點關系也沒有,甚至是植入了惡意程序.

當一個程序簽名是微軟的信息,而實際上被注入第三方線程或者干脆非微軟時,軟件默認會以紫色醒目提示.同時,我們可以查看該進程屬性,點擊"verify"按鈕,程序會自動與微軟提供的程序符號表校對,如果確系微軟文件,將會在版本信息處標識已校驗通過.

反之,如果非微軟的文件,則肯定無法與微軟提供的符號表相匹配,軟件將會提示無法驗證.如果簽名信息為微軟,而又無法在此處通過驗證,那么此時你就要多留意此文件的安全性了.

圖3.查看程序調(diào)用關系

一個程序往往由很多組件組成,程序通過各種調(diào)用關聯(lián)完成一系列的功能.當然,現(xiàn)在的程序編寫多采用標準庫,查看到的也包含系統(tǒng)提供的相關模塊.

我們可以點擊工具欄上的面板按鈕,也可以按快捷ctrl+l或者ctrl+d,一般多用ctrl+d,軟件將自動展開程序的下級調(diào)用查看面板,我們選擇一個程序,可以在下方看到相應的調(diào)用關系.

比如我要查看瀏覽器都加載了哪些插件,那么可以啟動瀏覽器,然后選擇瀏覽器進程,查看起調(diào)用的所有動態(tài)鏈接庫.可能大部分都是微軟的公司簽名,那么我們可以點擊公司名稱標簽排序,這樣就可以快速地篩選出非微軟的程序了.當然,純粹公司名是可以任意偽造的,要驗證真?zhèn)握垍⒖记拔?

在進程調(diào)用關系上,我們經(jīng)常可以用于定位某些彈窗軟件.

我們經(jīng)常會發(fā)現(xiàn)右下角多出個小窗,小窗內(nèi)播放著各種誘惑的東西,這種廣告多如牛毛,還不知道是誰彈的,那么此功能就派上用場了.

左鍵點住工具欄上的雷達圖標(一般是最后一個),拖到彈出的小窗上再松開,程序自動定位到窗口程序,其程序間的父子關系一目了然,父進程就是罪魁禍首了,該怎么辦您自己看著辦.

做了個簡單的示范錄像,有興趣的可以查看下,更多使用技巧請自己下載使用中體驗.

圖4.查找文件占用進程

其實是查看程序調(diào)用功能的延伸,本身程序能檢查到各個文件之間的相互調(diào)用關系,那么就很好理解此功能的來源了.

我們平常可能會經(jīng)常用到unlock這種工具刪除被占用的文件,原理也類似,我們可以利用procexp查找占用,然后將占用的程序結束掉再刪文件,就不用裝unlock了.

有一種程序一啟動就會占用的文件,此時我們可以將進程結束,然后點擊菜單>file>run/save等功能任意選一個,打開windows的對話框,在此找到要刪除的文件,右鍵能看到explorer下一樣的菜單,將文件刪除即可.

出處：http://asmylife.com/?p=720

以上是生活随笔為你收集整理的系统监控必备工具procexp的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。