这是只一个简单的例子,当然还有更复杂的规则说明,可以参考一下列表里的规则。
最后说下
process monitor
到底有什么用?
除了那些电脑高手喜欢分析程序运行情况外,
还有那些编程人员对程序运行情况的分析,
及查找电脑内是否有
木马的情况等。
第二部分:一个使用实例
(
微软
Process Monitor
证实“窥私门”事件
)
近期,
360
隐私保护器曝出腾讯
“
窥私门
”
事件。无数网民发现,
聊天工具在暗中密集扫描电脑硬盘、窥视
用户的隐私文件,
另两款聊天工具
MSN
和阿里旺旺则没有类似行为。
随即有网友曝料称,
早有人通过微软
process
monitor
(进程监视工具)发现
窥私的秘密。
据悉,
process monitor
是微软旗下的
Windows
系
统进程监视工具,
能够对系统中的任何文件和注册表操作进行监视和记录,
帮助用户判断某款软件是否存在
“
越
轨
”
行为。与
360
隐私保护器相比,
process monitor
采用了类似的原理,但是监测对象更广泛,适合具备一定电
脑知识的用户使用。
笔者下载安装了最新的
process monitor 2.93
版,并开启
、
MSN
、阿里旺旺、飞信等聊天工具进行对比
测试。在运行这些软件后,既不点击软件面板上的任何按钮,也不进行任何操作,以此判断它们有没有在后台悄悄
“
翻看
”
用户的隐私文件。
process monitor
监测记录表明,
不仅会自动访问许多与聊天无关的程序和文档,例如
“
我的文档
”
等敏感
位置,测试当天的上网记录也没能幸免。随后,
还会产生大量网络通讯,很可能是将数据上传到腾讯服务器。
短短
10
分钟内,
它访问的无关文件和网络通讯数量多达近万项!
MSN
等其它聊天工具的行为则要规矩得多,
只是
访问了自身文件和必要的系统文件。
process monitor
验证:自动访问用户上网记录等隐私数据,并进行网络通讯
经验证,
偷偷访问的隐私信息几乎覆盖了用户上网的一举一动,包括看过哪些网页、装了哪些软件、电脑
桌面上有哪些文件、所有
Office
文档、甚至电脑登陆所有网站、博客、邮箱的登陆信息
cookies
缓存文件,完全
在
的监控范围之内。
鉴于
process monitor
是微软提供的工具,
其验证结果无疑非常客观、
准确。
读者可参考以下步骤自行操作,
亲眼看看
对你隐私的掌握是不是已经到了无孔不入的地步:
1
、访问下载并安装
process monitor v2.93
;
2
、运行
process monitor
,在
Filter
菜单中设置监测过滤条件,包括:
1) Process name is qq.exe, Include
(监测并记录
进程的活动)
2) Path contains tencent, Exclude
(排除
访问自身文件的活动)
3) Path begins with C:\windows, Exclude
(排除
访问系统文件的活动)
3
、在软件界面中选择
Show File System Activity
(
进程访问的文件),去除对注册表的监测显示,让
监测结果更加直观。如下图:
第三部分:一个山寨版使用说明书
一、概述
此软件主要功能是:监控文件、注册表、进程、网络访问、事件。
二、详细功能
1
、可以显示每条监控记录的详细信息
双击指定记录,或者右键
->
属性就可以查看具体详细信息。
2
、转到
在指定的记录上右键
->Jump to
可以转到相应的注册表键或者文件上。
3
、
Process Tree
进程树显示,
Tool->Process Tree(Ctrl+T)
,顾名思义,显示进程详细信息,及调用关系。
4
、活动进程、文件、注册表、栈、网络、引用总结
对当前监控的总括描述,通过菜单
Tool
进入相应功能。
二、软件设置
1
、设置显示的列
Options->Select Columns,
具体每列代表的意思如下
(
英文
,
为了防止歧义这里就不翻译了
).
Application Details
?
Process Name
The name of the process in which an event occurred.
?
Image Path
The full path of the image running in a process.
?
Command Line
The command line used to launch a process.
?
Company Name
The text of the company name version string embedded in a process image
file. This text is optionally defined by the application developer.
?
Description
The text of the product description string embedded in a process image file. This
text is optionally defined by the application developer.
?
Version
The product version number embedded in a process image file. This information is
optionally specified by the application developer.
Event Details
?
Sequence Number
The relative position of the operation with respect to all events included
in the current filter.
?
Event Class
The class (File, Registry, Process) of the event.
?
Operation
The specific event operation (e.g. Read, RegQueryValue, etc.).
?
Date & Time
Both the date and the time of an operation.
?
Time of Day
Only the time of an operation.
?
Path
The path of the resource that an event references.
?
Detail
Additional information specific to an event.
?
Result
The status code of a completed operation.
?
Relative Time
The time of the operation relative to Process Monitor‘s start time or the last
time that the Process Monitor display was cleared.
?
Duration
The duration of an operation that has completed.
Process Management
?
User Name
The name of the user account in which the process that performed an operation
is executing.
?
Session ID
The Windows session in which the process that executed an operation is
executing.
?
Authentication ID
The logon session in which the process that executed an operation is
executing.
?
Process ID
The Process ID (PID) of the process that executed an operation.
?
Thread ID
The Thread ID (TID) of the thread that executed an operation.
?
Integrity Level
The integrity level at which the process that executed an operation is running
(Windows Vista only).
?
Virtualized
The virtualization status of the process that executed an operation (Windows
Vista only).
2
、过滤显示内容
Filter->Filter(Ctrl+L),
这里的过滤设置很灵活,看下图便知
3
、高亮度显示指定条件的内容
Filter->Highlight(Ctrl+H)
,条件的设置跟过滤一样
4
、清屏和自动滚动
清屏
Edit->Clear Display(Ctrl+X)
自动滚动保持最新的记录在最下面滚动显示
Edit->Auto Scroll(Ctrl+A)
5
、其他设置
其他设置还包括,打开、保存、备份文件,导入、导出配置文件,保存和导入过滤设置文件,字体设置等基本
设置,不一一类举,使用时一看便知。
process monitor教程汇总,布布扣,bubuko.com
原文:http://www.cnblogs.com/bdbw2012/p/3928925.html