Process Monitor是Windows的高级监控工具,可实时监控文件系统,注册表和进程/线程活动。

包括丰富的过滤器,全面的事件属性过滤,例如会话ID和用户名。带有集成符号的完整线程堆栈,支持每个文件操作,同时记录到文件等。

它独特的强大功能使Process Monitor成为系统故障排除和恶意软件搜索工具包中的核心程序。

在本教程中,我们将说明如何在Windows使用Process Monitor监控并分析应用程序的行为,包括分析应用读取,写入的文件以及如何使用Process Monitor过滤器。

Process Monitor 过滤器

要使用Process Monitor的分析应用程序的行为,就必须Process Monitor的过滤器进行过滤。

接下来打开Process Monitor你将看到如下简单且适用的界面。然后创建Process Monitor过滤器规则。

我们将以QQ为例,简单说说如何找到QQ所有读取的文件。第一步找到QQ的进程所有操作,这里以TIM.exe作为示例。

第二步找到TIM.exe都读取那些文件。第三步排除TIM.exe自身创建的文件。也就是说我们需要创建三个过滤器。

Process Monitor

Process Monitor 按名称过滤进程

点击Process Monitor工具栏Filter。在弹出的菜单中,点击Filter...,我们将这里一步一步的创建过滤器。

Process Monitor filter

在Archtecture下拉栏中选择Command Line,在is下拉栏中选择contains,空白的输入框中键入TIM.exe。

然后点击Add,接着点击Apply,再点击OK。经过这个过滤器后我们知道找到QQ的进程所有操作。

这些操作包括文件系统的读与写,注册表,网络等等一系列操作。如下图界面所示。

找到TIM进程所有读写的过滤器
TIM进程所有操作的过滤器结果

Process Monitor 查看进程打开/读写的文件

找到了TIM.exe所有操作后,你会发现记录不只是那么几条,很多在操作在我们的屏幕显示。

有很多还不是我们要关心的,但是有一个操作是我们需要重点关注,那就是ReadFile。

继续添加过滤器,在Archtecture下拉栏中选择Operation,在is下拉栏中选择is,空白的输入框中键入ReadFile。

然后点击Add,再点击Apply,最后是点击OK。你将会看到进读取文件的程所有操作。

TIM进程所有ReadFIle操作

Process Monitor 排除关键词

经过第二步的过滤器后你会看到很多读取文件操作的路径都包含Tencent的字样。TIM.exe读取这些目录是自身创建的。

因此也不是我们需要关心。我们要将它排除,继续添加过滤器,打开添加过滤器的界面。

在Archtecture下拉栏中选择Operation,在is下拉栏中选择contains,空白的输入框中键入Tencent,then旁边的下拉栏选择Exclude。

然后点击Add,接着Apply,再点击OK。你将会看到TIM.exe读取除自身创建的文件目录之外的文件。

排除TIM.exe读取自身创建的目录

结论

至此,你已经熟悉如何在Windows使用 Process Monitor分析应用程序行为,它可以帮助排查进程的问题。

当然也可以帮助你找到流氓应用,将自己数据保护起来。例如我们在教程提到的如何在Windows 保护个人隐私数据

如何在Windows 保护个人隐私数据 | myfreax
隐私已经是全世界热点话题,一些人认为自己隐私的公开也不会给自己带来实质伤害