系统监控必备工具procexp
之前寫(xiě)過(guò)一篇簡(jiǎn)單的wireshark抓包教程:搗鼓軟件之:網(wǎng)絡(luò)抓包利器-wireshark,其中提到過(guò)SYSINTERNALS SOFTWARE的幾個(gè)經(jīng)典工具.
對(duì)軟件行為監(jiān)控首選SYSINTERNALS SOFTWARE出品的系列工具:
regmon---可以監(jiān)控系統(tǒng)注冊(cè)表讀寫(xiě)
filemon---用于監(jiān)控文件讀寫(xiě)
procexp---用于監(jiān)控進(jìn)程以及進(jìn)程關(guān)系
tcpview---監(jiān)控進(jìn)程監(jiān)聽(tīng)端口,網(wǎng)絡(luò)連接行為
鑒于以上軟件功能上互有交集,SYSINTERNALS SOFTWARE收歸微軟后,以上工具除了procexp和tcpview,文件和注冊(cè)表監(jiān)控工具都已不支持vista以上版本系統(tǒng),取而代之的是集以上軟件功能為一體的procmon.
今天就稍微詳細(xì)點(diǎn)介紹下以上幾個(gè)工具中的procexp和procmon,下載地址:
procexp綠色版
procexp64位綠色版
Procmon綠色版
如果下載不了就自己網(wǎng)絡(luò)搜索,或者到微軟官方網(wǎng)站去下載.
1.Procexp
?
圖1.procexp進(jìn)程瀏覽器
procexp全稱process?explorer,這個(gè)工具如果經(jīng)常折騰系統(tǒng)或者做軟件調(diào)試的人應(yīng)該接觸較多.
相比windows系統(tǒng)自帶的任務(wù)管理器,其優(yōu)秀之處在于很方便地查看進(jìn)程相關(guān)信息,如進(jìn)程路徑,參數(shù),線程等,還可以查看tcpip連接,進(jìn)程關(guān)系,占用情況等.
工具雖小,但作用很大,是一款軟件愛(ài)好者必備利器.
?
?
?
?
?
1.1?查看進(jìn)程相關(guān)信息
圖2.查看進(jìn)程詳細(xì)信息
啟動(dòng)procexp.exe后,我們可以在你需要查看的進(jìn)程上右鍵>屬性查看,也可以直接雙擊或點(diǎn)擊工具欄上方的手勢(shì)按鈕,打開(kāi)后我們可以看到程序的路徑,參數(shù),線程等等信息,如圖2所示:
此處我們可以查看一個(gè)進(jìn)程的文件版本,加載線程,網(wǎng)絡(luò)連接等各方面信息,其中有個(gè)比較有用的功能是校驗(yàn)程序的真?zhèn)?
我們知道目前網(wǎng)絡(luò)上病毒猖狂,偽造的或者被人修改的系統(tǒng)文件比比皆是,在這么多文件里面我們根本難以區(qū)分哪些文件真正屬于微軟原版文件,指不定一個(gè)外表看上去微軟得不能再微軟的程序,實(shí)際上跟微軟一點(diǎn)關(guān)系也沒(méi)有,甚至是植入了惡意程序.
當(dāng)一個(gè)程序簽名是微軟的信息,而實(shí)際上被注入第三方線程或者干脆非微軟時(shí),軟件默認(rèn)會(huì)以紫色醒目提示.同時(shí),我們可以查看該進(jìn)程屬性,點(diǎn)擊"verify"按鈕,程序會(huì)自動(dòng)與微軟提供的程序符號(hào)表校對(duì),如果確系微軟文件,將會(huì)在版本信息處標(biāo)識(shí)已校驗(yàn)通過(guò).
反之,如果非微軟的文件,則肯定無(wú)法與微軟提供的符號(hào)表相匹配,軟件將會(huì)提示無(wú)法驗(yàn)證.如果簽名信息為微軟,而又無(wú)法在此處通過(guò)驗(yàn)證,那么此時(shí)你就要多留意此文件的安全性了.
1.2?查看程序調(diào)用關(guān)系
圖3.查看程序調(diào)用關(guān)系
一個(gè)程序往往由很多組件組成,程序通過(guò)各種調(diào)用關(guān)聯(lián)完成一系列的功能.當(dāng)然,現(xiàn)在的程序編寫(xiě)多采用標(biāo)準(zhǔn)庫(kù),查看到的也包含系統(tǒng)提供的相關(guān)模塊.
我們可以點(diǎn)擊工具欄上的面板按鈕,也可以按快捷ctrl+l或者ctrl+d,一般多用ctrl+d,軟件將自動(dòng)展開(kāi)程序的下級(jí)調(diào)用查看面板,我們選擇一個(gè)程序,可以在下方看到相應(yīng)的調(diào)用關(guān)系.
?
比如我要查看瀏覽器都加載了哪些插件,那么可以啟動(dòng)瀏覽器,然后選擇瀏覽器進(jìn)程,查看起調(diào)用的所有動(dòng)態(tài)鏈接庫(kù).可能大部分都是微軟的公司簽名,那么我們可以點(diǎn)擊公司名稱標(biāo)簽排序,這樣就可以快速地篩選出非微軟的程序了.當(dāng)然,純粹公司名是可以任意偽造的,要驗(yàn)證真?zhèn)握?qǐng)參考前文.
在進(jìn)程調(diào)用關(guān)系上,我們經(jīng)常可以用于定位某些彈窗軟件.
我們經(jīng)常會(huì)發(fā)現(xiàn)右下角多出個(gè)小窗,小窗內(nèi)播放著各種誘惑的東西,這種廣告多如牛毛,還不知道是誰(shuí)彈的,那么此功能就派上用場(chǎng)了.
左鍵點(diǎn)住工具欄上的雷達(dá)圖標(biāo)(一般是最后一個(gè)),拖到彈出的小窗上再松開(kāi),程序自動(dòng)定位到窗口程序,其程序間的父子關(guān)系一目了然,父進(jìn)程就是罪魁禍?zhǔn)琢?該怎么辦您自己看著辦.
做了個(gè)簡(jiǎn)單的示范錄像,有興趣的可以查看下,更多使用技巧請(qǐng)自己下載使用中體驗(yàn).
圖4.查找文件占用進(jìn)程
1.3 查找文件占用
其實(shí)是查看程序調(diào)用功能的延伸,本身程序能檢查到各個(gè)文件之間的相互調(diào)用關(guān)系,那么就很好理解此功能的來(lái)源了.
我們平常可能會(huì)經(jīng)常用到unlock這種工具刪除被占用的文件,原理也類似,我們可以利用procexp查找占用,然后將占用的程序結(jié)束掉再刪文件,就不用裝unlock了.
有一種程序一啟動(dòng)就會(huì)占用的文件,此時(shí)我們可以將進(jìn)程結(jié)束,然后點(diǎn)擊菜單>file>run/save等功能任意選一個(gè),打開(kāi)windows的對(duì)話框,在此找到要?jiǎng)h除的文件,右鍵能看到explorer下一樣的菜單,將文件刪除即可.
出處:http://asmylife.com/?p=720
總結(jié)
以上是生活随笔為你收集整理的系统监控必备工具procexp的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Mysq常用语句2
- 下一篇: Windows任务管理器被procexp