Process Monitor

功能：監控應用程序的文件操作、系統操作、注冊表操作、網絡行為等。

?

1.定位程序

首先是配置監控的應用程序，可以從過濾器設置，點擊工具欄的過濾器按鈕設置 Process Name is? “應用名稱”即可。

如果不知道應用名稱的應用怎么辦，比如突然彈出的廣告窗口，看到那個雷達小圖標沒，拖到當前活動窗口上就能定位到是哪個進程打開的窗口，對付惡意廣告流氓軟件啥的很好用。

2.過濾行為

當你試圖去分析一個應用程序的行為可能會被鋪天蓋地的程序行為感到困惑，一般情況下需要過濾掉不關注的行為，以方便分析。

• 可以通過直接點擊監控功能按鈕關閉或開啟：注冊表、系統目錄、網絡等操作
• 可以通過編輯過濾條件把應用本身一些重復的行為Exclude掉，這樣可以更方便的觀察應用行為。

? ? ?編輯過濾條件（先exclude一些條件）->add過濾->應用過濾

? ? ?可以添加關注API， 比如：WriteFile操作等。

3、動手測試

寫了個簡單的小程序，點擊按鈕在D盤創建一個文件，然后寫入一些字符后關閉文件

監控到的應用行為如下

下面一大堆注冊表的查詢和設置貌似和字體設置sogou有關，暫時不關注了。

為了屏蔽windows程序自動夾雜的各種行為方便觀察測試，用控制臺寫了文件操作程序

逐個輸入數字序號執行捕獲到行為如下：

有點讓我費解的是，程序還沒輸入數字序號執行前捕獲的一大堆行為是什么鬼？有知道的同學麻煩告訴我下，謝謝！

測試程序下載地址：https://download.csdn.net/download/roshy/14355179

?

總結

以上是生活随笔為你收集整理的【网络安全】小白每天学一点之“监控应用程序行为” [process monitor]的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。