Process Monitor
1.開啟/停止記錄事件: 打X時表示現在停止捕捉事件
2.自動下捲: 永遠顯示清單最下方的最新記錄。
3.清除目前清單中的記錄
4.設定Filter
5.指定桌面程式: 如果想觀察某個程式讀了哪些Registry、寫了哪幾個File,將小瞄準器拖拉到那個程式的UI上,ProcMon就會在Filter中加入限定該程式的Process ID
6.搜尋: 在現有的記錄中找尋特定文字
7.跳至Registry/File: 在記錄中某些Registry或File的名稱,點選那一列記錄後按下去,若是Registry記錄就會開Registry Editor停在該Registry Key上,若是File就會開啟FileMonitor停在該檔案的所在目錄上。在記錄上按右鍵也有個Jump To,效果相同。
8~10. 用來指定你要監聽的範圍,分別是Registry、File及Process活動,如果你只關心File存取,就只開啟File,真正的線索才不會被埋藏在一大堆沒用的Registry記錄中。
2.自動下捲: 永遠顯示清單最下方的最新記錄。
3.清除目前清單中的記錄
4.設定Filter
5.指定桌面程式: 如果想觀察某個程式讀了哪些Registry、寫了哪幾個File,將小瞄準器拖拉到那個程式的UI上,ProcMon就會在Filter中加入限定該程式的Process ID
6.搜尋: 在現有的記錄中找尋特定文字
7.跳至Registry/File: 在記錄中某些Registry或File的名稱,點選那一列記錄後按下去,若是Registry記錄就會開Registry Editor停在該Registry Key上,若是File就會開啟FileMonitor停在該檔案的所在目錄上。在記錄上按右鍵也有個Jump To,效果相同。
8~10. 用來指定你要監聽的範圍,分別是Registry、File及Process活動,如果你只關心File存取,就只開啟File,真正的線索才不會被埋藏在一大堆沒用的Registry記錄中。
Filter
由於我們想要專注應用程式對於系統做的改變(不外乎是檔案的寫入或是註冊碼的寫入),或是看應用程式是否有異常或是往外連線的狀況,因此 Filter 可以增加下列過濾規則:
- Operation is TCP Connect
- Operation is RegSetValue
- Operation is WriteFile
- Category is Write
如果Log量還是很大,可以再設定:
Options > history Depth (限制事件擷取的深度)
Filter > Drop Filtered Events (將部分不需要的系統事件排除)
File > Backing File > To Disk (擷取時儲存至檔案)
Options > history Depth (限制事件擷取的深度)
Filter > Drop Filtered Events (將部分不需要的系統事件排除)
File > Backing File > To Disk (擷取時儲存至檔案)
留言
張貼留言