首页 > 其他 > 详细

process monitor教程汇总

时间:2014-08-22 12:26:06      阅读:853      评论:0      收藏:0      [点我收藏+]

 

 
 
 

bubuko.com,布布扣

 

这是只一个简单的例子,当然还有更复杂的规则说明,可以参考一下列表里的规则。

 

最后说下

process monitor

到底有什么用?

 

除了那些电脑高手喜欢分析程序运行情况外,

还有那些编程人员对程序运行情况的分析,

及查找电脑内是否有

木马的情况等。

 

第二部分:一个使用实例

(

微软

Process Monitor

证实“窥私门”事件

近期,

360

隐私保护器曝出腾讯

窥私门

事件。无数网民发现,

QQ

聊天工具在暗中密集扫描电脑硬盘、窥视

用户的隐私文件,

另两款聊天工具

MSN

和阿里旺旺则没有类似行为。

随即有网友曝料称,

早有人通过微软

process 

monitor

(进程监视工具)发现

QQ

窥私的秘密。

 

 

 

据悉,

process monitor

是微软旗下的

Windows

 

 

 

统进程监视工具,

能够对系统中的任何文件和注册表操作进行监视和记录,

帮助用户判断某款软件是否存在

行为。与

360

隐私保护器相比,

process monitor

采用了类似的原理,但是监测对象更广泛,适合具备一定电

脑知识的用户使用。

 

 

 

笔者下载安装了最新的

process monitor 2.93

版,并开启

QQ

MSN

、阿里旺旺、飞信等聊天工具进行对比

测试。在运行这些软件后,既不点击软件面板上的任何按钮,也不进行任何操作,以此判断它们有没有在后台悄悄

翻看

用户的隐私文件。

 

 

 

process monitor

监测记录表明,

QQ

不仅会自动访问许多与聊天无关的程序和文档,例如

我的文档

等敏感

位置,测试当天的上网记录也没能幸免。随后,

QQ

还会产生大量网络通讯,很可能是将数据上传到腾讯服务器。

短短

10

分钟内,

它访问的无关文件和网络通讯数量多达近万项!

MSN

等其它聊天工具的行为则要规矩得多,

只是

访问了自身文件和必要的系统文件。

 

process monitor

验证:自动访问用户上网记录等隐私数据,并进行网络通讯

 

 

经验证,

QQ

偷偷访问的隐私信息几乎覆盖了用户上网的一举一动,包括看过哪些网页、装了哪些软件、电脑

桌面上有哪些文件、所有

Office

文档、甚至电脑登陆所有网站、博客、邮箱的登陆信息

cookies

缓存文件,完全

QQ

的监控范围之内。

 

 

 

 

鉴于

process monitor

是微软提供的工具,

其验证结果无疑非常客观、

准确。

读者可参考以下步骤自行操作,

亲眼看看

QQ

对你隐私的掌握是不是已经到了无孔不入的地步:

 

 

 

 

1

、访问下载并安装

process monitor v2.93

 

 

 

2

、运行

process monitor

,在

Filter

菜单中设置监测过滤条件,包括:

 

 

 

 

1) Process name is qq.exe, Include 

(监测并记录

QQ

进程的活动)

 

 

 

2) Path contains tencent, Exclude 

(排除

QQ

访问自身文件的活动)

 

 

 

3) Path begins with C:\windows, Exclude 

(排除

QQ

访问系统文件的活动)

 

 

 

 

3

、在软件界面中选择

Show File System Activity

QQ

进程访问的文件),去除对注册表的监测显示,让

监测结果更加直观。如下图:

bubuko.com,布布扣

 

 

第三部分:一个山寨版使用说明书

 

一、概述

 

此软件主要功能是:监控文件、注册表、进程、网络访问、事件。

 

二、详细功能

 

1

、可以显示每条监控记录的详细信息

 

 

双击指定记录,或者右键

->

属性就可以查看具体详细信息。

 

2

、转到

bubuko.com,布布扣

 

 

在指定的记录上右键

->Jump to

可以转到相应的注册表键或者文件上。

 

3

Process Tree 

 

进程树显示,

Tool->Process Tree(Ctrl+T)

,顾名思义,显示进程详细信息,及调用关系。

 

 

4

、活动进程、文件、注册表、栈、网络、引用总结

 

 

对当前监控的总括描述,通过菜单

Tool

进入相应功能。

 

二、软件设置

 

1

、设置显示的列

 

 

Options->Select Columns,

具体每列代表的意思如下

(

英文

,

为了防止歧义这里就不翻译了

). 

Application Details 

?

 

Process Name

 The name of the process in which an event occurred. 

 

?

 

Image Path

 The full path of the image running in a process. 

?

 

Command Line

 The command line used to launch a process. 

?

 

Company Name

 The text of the company name version string embedded in a process image 

file. This text is optionally defined by the application developer. 

?

 

Description

 The text of the product description string embedded in a process image file. This 

text is optionally defined by the application developer. 

?

 

Version

 The product version number embedded in a process image file. This information is 

optionally specified by the application developer. 

Event Details 

?

 

Sequence Number

 The relative position of the operation with respect to all events included 

in the current filter. 

?

 

Event Class

 The class (File, Registry, Process) of the event. 

?

 

Operation

 The specific event operation (e.g. Read, RegQueryValue, etc.). 

?

 

Date & Time

 Both the date and the time of an operation. 

?

 

Time of Day

 Only the time of an operation. 

?

 

Path

 The path of the resource that an event references. 

?

 

Detail

 Additional information specific to an event. 

?

 

Result

 The status code of a completed operation. 

?

 

Relative Time

 The time of the operation relative to Process Monitor‘s start time or the last 

time that the Process Monitor display was cleared. 

?

 

Duration

 The duration of an operation that has completed. 

 

Process Management 

?

 

User Name

 The name of the user account in which the process that performed an operation 

is executing. 

 

?

 

Session ID

The Windows session in which the process that executed an operation is 

executing. 

?

 

Authentication ID

 The logon session in which the process that executed an operation is 

executing. 

?

 

Process ID

The Process ID (PID) of the process that executed an operation. 

?

 

Thread ID

The Thread ID (TID) of the thread that executed an operation. 

 

?

 

Integrity Level

 The integrity level at which the process that executed an operation is running 

(Windows Vista only). 

?

 

Virtualized

 The virtualization status of the process that executed an operation (Windows 

Vista only). 

2

、过滤显示内容

 

 

Filter->Filter(Ctrl+L),

这里的过滤设置很灵活,看下图便知

 

 

3

、高亮度显示指定条件的内容

 

 

Filter->Highlight(Ctrl+H)

,条件的设置跟过滤一样

 

4

、清屏和自动滚动

 

 

清屏

Edit->Clear Display(Ctrl+X) 

 

自动滚动保持最新的记录在最下面滚动显示

Edit->Auto Scroll(Ctrl+A) 

5

、其他设置

 

其他设置还包括,打开、保存、备份文件,导入、导出配置文件,保存和导入过滤设置文件,字体设置等基本

设置,不一一类举,使用时一看便知。

process monitor教程汇总,布布扣,bubuko.com

process monitor教程汇总

原文:http://www.cnblogs.com/bdbw2012/p/3928925.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!