【网络安全】小白每天学一点之“监控应用程序行为” [process monitor]

最新推荐文章于 2025-03-12 09:50:58 发布
最新推荐文章于 2025-03-12 09:50:58 发布
阅读量6.4k 收藏 13
点赞数 3
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/roshy/article/details/112652493
版权
本文详细介绍了如何使用ProcessMonitor工具来定位和监控应用程序的文件、系统、注册表和网络行为。通过设置过滤器,可以专注于特定的操作,如排除重复行为或关注特定API。作者还分享了一个简单的文件操作测试程序,展示了ProcessMonitor在实际操作中的应用,并提出了对监控到的未预期行为的疑问。读者可以下载测试程序进行实践。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Process Monitor

功能:监控应用程序的文件操作、系统操作、注册表操作、网络行为等。

 

1.定位程序

首先是配置监控的应用程序,可以从过滤器设置,点击工具栏的过滤器按钮设置 Process Name is  “应用名称”即可。

如果不知道应用名称的应用怎么办,比如突然弹出的广告窗口,看到那个雷达小图标没,拖到当前活动窗口上就能定位到是哪个进程打开的窗口,对付恶意广告流氓软件啥的很好用。

2.过滤行为

当你试图去分析一个应用程序的行为可能会被铺天盖地的程序行为感到困惑,一般情况下需要过滤掉不关注的行为,以方便分析。

  • 可以通过直接点击监控功能按钮关闭或开启:注册表、系统目录、网络等操作
  • 可以通过编辑过滤条件把应用本身一些重复的行为Exclude掉,这样可以更方便的观察应用行为。

     编辑过滤条件(先exclude一些条件)->add过滤->应用过滤

     可以添加关注API, 比如:WriteFile操作等。

3、动手测试

写了个简单的小程序,点击按钮在D盘创建一个文件,然后写入一些字符后关闭文件

监控到的应用行为如下

下面一大堆注册表的查询和设置貌似和字体设置sogou有关,暂时不关注了。

为了屏蔽windows程序自动夹杂的各种行为方便观察测试,用控制台写了文件操作程序

逐个输入数字序号执行捕获到行为如下:

有点让我费解的是,程序还没输入数字序号执行前捕获的一大堆行为是什么鬼?有知道的同学麻烦告诉我下,谢谢!

测试程序下载地址:https://download.youkuaiyun.com/download/roshy/14355179

 

[网络安全篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
杨秀璋的专栏
02-26 1万+
这是作者的网络安全教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助。
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3415
系统安全将更好地帮助初者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
深入理解程序行为:使用Procmon进行动作监视
最新发布
weixin_33245447的博客
03-12 633
本文还有配套的精品资源,点击获取 简介:程序动作监视是一项关键技术,用于详细跟踪计算机程序在执行过程中的所有行为。它涉及到文件访问、注册表操作、网络通信等重要方面,并对调试、性能分析、安全检测和问题排查等方面至关重要。介绍Procmon工具的功能,包括进程和线程监控、文件系统活动、注册表活动、网络活动、过滤规则设定、日志记录、性能影响考量以及在应用开发、性能优化、安全审计和...
常用恶意软件分析方法及工具汇总,从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
03-06 737
恶意软件是指由网络犯罪分子设计的恶意程序,可通过创建后门入口来获得对计算设备的访问权,从而窃取个人信息、机密数据,实施对计算机系统的破坏。为了更好地防护恶意软件,避免由恶意软件造成的危害,必须对恶意软件进行分析,以了解恶意软件的类型、性质和攻击方法。恶意软件分析工作主要包括在隔离环境下分析木马、病毒、rootkit、勒索软件或间谍软件等恶意软件家族的样本,运用各种方法,根据其行为了解攻击者动机、目的及恶意软件类型和功能等,并创建规则来实施相应的缓解措施。
软件行为监控
04-08
想不想知道运行的软件偷偷在后台都在干什么?有没遇到过浏览网页时听到不错的背景音乐却没办法下载下来?那么现在这些都不是问题了,立即下载即可帮您解决这些问题,此不到1M的绿色小程序速度飞快,实时刷新状态,电脑必备,是您系统的鹰眼!
监测 Windows 应用行为
海纳百川
01-07 2659
监测 Windows 应用行为 当我们安装、运行 Windows程序时,程序可能会包含创建文件夹、修改注册表等一系列行为。但是大部分应用程序的这些行为对于使用者来说都是不可见的。 当我们需要监控一个应用程序干了哪些事情,就可以使用工具: Wise Installation System。该应用程序通过拍摄快照、对比快照的方式可以来展示程序的行为。 安装: 选择SetupCapture: 勾选设置: 对当前主机内容拍摄快照: 执行需要观测的程序: 执行操作后再观测当前主机状态: 完成后就可以在
程序行为记录与跟踪
10-20
在安全网上逛的时候,突然发现一篇很好的文章!详细阐述了当前流行的api hook技术,rootkit技术和主动防御技术,涉及到深入的操作系统知识,需要一定的功底才能看懂,真的很不错,可以说是一篇难得的教程!现摘选如下: 一. 黑匣子的原理 对于一般用户而言,一个程序从开始运行直到结束,这期间内都做过什么,并不是我们需要关心的事情,他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了,有谁会去关心从用户点击播放器程序图标到音乐响起的时间里,这个程序具体做了什么事情呢?然而,如果面对的程序是恶意软件之流,用户就不得不关心一下它到底对自己的计算机造成什么影响了。 程序在运行期间所进行的操作被称为“程序行为”(Action),一般泛指程序进行的相对表现较明显的操作,例如创建读写文件、访问注册表、连接网络等,而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的,除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”(Tracing),如果要进一步深入,则要使用调试器(Debugger)环境进行汇编级的指令分析,这就是“调试”(Debugging),也可视为更全面的跟踪,因为调试过程可观察到整个程序里的运算和每一步过程。 也许很多用户会觉得,这些复杂技术距离我们很远,甚至会想像为需要复杂设备和程序才能完成,其实,这些技术的应用范围,一直就在我们身边。如果你正在使用一款防毒产品,那么你系统里执行的程序就已经处于被记录行为的状态了;如果你使用HIPS产品,就会更强烈的感受到程序运行被监视着;如果你正在使用调试器,那就不用我说了吧…… 在Windows系统里,至少有三种技术可以实现程序行为的记录,甚至控制程序的某些行为,分别是“虚拟机”(VM)、“API钩子”(API Hooking)和“API跟踪”(API Tracing)。 应用广泛的虚拟机技术 经常提到的虚拟机技术有两种,一种是普遍应用上的虚拟机技术,它是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,此类虚拟机的概念比较广泛,可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare,也可以是介于硬件和编译程序之间的交互介质,如Java虚拟机等;另一种则是反病毒产品中使用的“通用解密器”技术,为了检测一些复杂或者代码加密的病毒,杀毒引擎必须让它运行起来以便自我暴露危险程序行为,但是如果病毒真的在用户计算机里运行了,就违背反病毒产品的初衷了,因此反病毒产品也采取了一种虚拟环境检测方法,这就是虚拟机技术,但是这个技术并非是为病毒提供一套计算机仿真系统,这样就太庞大复杂和消耗资源了,这种虚拟机是指杀毒引擎模拟出一个仿真CPU,这个“CPU”具备和真正CPU等同的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果。
应用程序行为监控测试用程序
01-15
这是一个用来做应用行为测试观察实验的小程序
应用程序监控
ITmoster的博客
06-16 825
Applications Manager 应用程序监控软件,通过帮助开发人员了解其应用程序最终用户面临的挑战并提出改善客户体验的解决方案,为开发人员提供信息。
开发小智AI黑客机器人并上传全云端
Sunspot
06-29 5717
黑客机器人开发是指开发一种具有黑客技术的自动化程序或机器人。这些机器人可以执行各种黑客活动,如渗透测试、漏洞扫描、密码破解等。
【C#连接MySQL数据库指南】:从小白到大师的进阶之路
[MySQL数据库](https://img-blog.csdnimg.cn/20210316084929516.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNDUzMjg1,size_16,color_FFFFFF,...
ProcessMonitor程序操作监控
10-22
可以 监控程序运行 细节 程序写入神马的
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作
12-03
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作,localizer、hacker 或 cracker 必备。
深入浅出Zabbix 3.0 -- 第三章  Zabbix 监控方式
clm_sky的博客
05-23 1556
第三章 Zabbix监控方式 近日完成《深入浅出zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.youkuaiyun.com/course/detail/24870 有人说通过Zabbix可以完成任何监控任务,只有你想不到的,但没有监控不了的,真是这样吗?当你通过本章了解了Zabbix提供...
行为监控软件监控什么 行为监控软件下载
2401_83058349的博客
04-24 410
行为监控软件主要用于监控和分析用户的行为模式。这类软件可以监控的内容相当广泛,安企神作为典型的行为监控软件,可以从中窥见软件监控的内容:
linux程序行为监控软件,Linux 进程监控工具 monit
weixin_31937913的博客
05-05 479
如果你已经使用Cacti Nagios 以及zabbix 等一系列监控工具来监控你的项目,但仍然达不到你想要的进程挂掉可以自动拉起并且邮件报警的功能,那么请往下看,推荐一款及其好用的进程监控软件Monit;Monit是一款功能非常丰富的进程、文件、目录和设备的监测软件,适用于Linux/Unix平台。 它可以自动修复那些已经停止运作的程序,特使适合处理那些由于多种原因导致的软件错误,同时Monit...
如何对系统中的某个进程进行监控
愚翁专栏
03-21 7591
最近看到一篇文章,就是如何对系统某个进程进行监控,并且当这个进程触发某些事件的时候,能进行相应。而且发现有人问这方面的问题,我就大致在其原有的基础进行如下的修改。 首先说明的一点,方法是基于WMI的。以下是我扩展类的代码说明://------------------------ProcessInfo Class------------------------------------
恶意软件检测中的行为分析
ptsecurity的博客
06-21 2826
恶意软件检测中的行为分析
电脑行为监控可以监控到哪些内容?
DCY18033745888的博客
06-26 843
现在电脑基本上已经成为企业日常办公中不可或缺的工具。一般情况下,企业为了保证员工工作效率,以及内部数据安全就会使用电脑行为监控软件来监控员工使用电脑的情况。那电脑行为监控都可以监控到哪些内容呢?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值