【Procmon教程2】如何揪出篡改注册表的元凶？

原创

已于 2023-08-15 16:08:02 修改 · 2.2k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#Procmon #默认浏览器 #PML

于 2022-02-14 14:56:54 首次发布

本文指导如何通过Procmon这款工具，监控Windows系统的默认Web浏览器注册表设置，捕获并识别可能的第三方软件修改行为，帮助运维人员查找篡改源。步骤包括配置过滤器、关注关键注册表路径、捕捉修改记录和日志分析。

环境

系统：win10x64

Procmon版本：3.32

描述

windows系统默认Web浏览器经常被监控软件等第三方软件修改，作为windows系统运维存在获取篡改软件名称的需求。本文介绍：如何使用Procmon监控特定注册表项抓取修改该注册表项进程名称。

步骤

1、首先，需要了解windows注册表如何保存默认Web浏览器的设定，这里需要关注的是两个项目。

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice

2、打开Procmon软件，使用快捷方式【Ctrl+L】打开过滤器。点击如下 Reset 按钮，把过滤参数恢复至默认状态。

3、添加注册表路径至过滤器。

添加完成后，点选 OK 按钮，结束过滤配置。

4、由于我们只关注注册表活动，所以文件系统、网络、进程&线程等其他监控要素全部关闭。然后，开启capture状态。

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

sunriver2000

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

使用Process Monitor工具监测进程对注册表和文件的操作（常用分析工具）

dvlinker的技术专栏

06-23

1万+

本文详细介绍了如何使用Process Monitor工具监测进程对注册表和文件的操作活动，并给出了对应的监测范例。

如何才能监控查看出注册表更改情况，本地组策略设置更改了哪些注册表对应值？

本博客，博文仅代表个人操作经验，不能完全解决你的问题，仅供参考，佛系回复。

03-02

4957

Win11 专业版HP480G7。

参与评论您还未登录，请先登录后发表或查看评论

20、Process Monitor 使用指南

l6m7n8的博客

09-03

本文详细介绍了Process Monitor（Procmon）的使用方法，涵盖符号查看、启动/注销/关机活动记录、长时间跟踪的日志大小控制、配置导入导出、命令行自动化以及数据分析工具的使用。通过具体操作示例和流程图，帮助用户掌握在不同场景下如何高效利用Procmon进行系统问题诊断与监控，是系统管理员和开发人员进行故障排查的实用指南。

Process Monitor 学习笔记（5.1）：Procmon 概述、抓取原理与常见用途

热门推荐

lxiao428的博客

10-10

2万+

软件的下载链接：https://download.youkuaiyun.com/download/lxiao428/10711509 Procmon是微软出品用于监视Windows系统里程序的运行情况，监视内容包括该程序对注册表的读写、对文件的读写、网络的连接、进程和线程的调用情况，procmon是一款超强的系统监视软件。下载完成之后，直接启动procmon.exe，procmon会自动扫描分析系统当...

【Procmon教程1】Procmon介绍

sunriver2000的专栏

02-18

6729

1、基本介绍 Process Monitor是微软推荐的一款系统监视工具，可以实时显示文件系统、注册表（读写）、网络链接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon，其中Filemon专门用来监视系统中的任何文件操做过程，Regmon用来监视注册表的读写操做过程。 Filemon：文件监视器 Regmon：注册表监视器同时，Process Monitor增长了进程ID、用户、进程可靠度等监视项，能够记录到文件中。它的强大功能足以使Process Mo

49.Procmon软件基本用法及文件进程、注册表查看1

08-03

2. **实例分析**：例如，如果发现某个程序启动后系统变慢，可以使用Procmon监控该程序，找出频繁读写文件或注册表的活动，进一步分析是否为异常行为。四、Procmon分析压缩包 Procmon可以用于监控解压缩软件的行为...

Procmon 软件进程监控监视有注册表 支持WIN7

02-29

很好用的软件以前XP上经常用这个是升级版

[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看

杨秀璋的专栏

02-26

1万+

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了Cracer教程的第一篇文章，详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看，这是一款微软推荐的系统监视工具，功能非常强大可用来检测恶意软件。基础性文章，希望对您有所帮助。

Procmon64.exe

11-05

Widows工具

Process Monitor 使用手册

12-02

简介： Process Monitor（进程监视器）是Windows先进的监测工具，它可以显示实时的文件系统，注册表和进程/线程活动。它结合了两个传统的Sysinternals工具Filemon和Regmon的功能。并增加了丰富的过滤设置，进程监视器将会是您在排除系统故障和分析恶意软件方面的得力助手。

Procmon.exe

07-29

Procmon.exe，一款很好的工具。

深入了解Procmon：系统进程与文件注册表监控工具

假设这里的描述指的是Procmon相关的文件或资源，那么这可能包括Procmon的可执行文件本身以及任何支持文档、更新、教程或样例配置文件。这些资源对于用户了解如何使用Procmon及其各种功能、如何安装、如何解读报告...

[系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看

神棍之路

12-07

4300

该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起加油~前文尝试了软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看，这是一款微软推荐的系统监视工具，功能非常强大可用来检测恶意软件。基础性文章，希望对您有所帮助~作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在

ProcMon-for-Linux 使用教程

gitblog_00665的博客

08-10

548

ProcMon-for-Linux 是 Sysinternals 套件中经典工具 Procmon 的 Linux 重新构想版本。Procmon 提供了一种方便且高效的方式，供 Linux 开发者跟踪系统上的 syscall 活动。该项目旨在帮助开发者监控和调试 Linux 系统中的进程行为。 ## 项目快速启动 ### 安装要求 - 操作系统：Ubuntu 18.04 LTS - cmake...

Procmon 的使用

0X011954

06-04

8327

Procmon 也即是Process Monitor, Procmon是一个系统进程监控软件。 Procmon = Filemon+Regmon，Filemon是专门用来监控系统中的任意文件操作过程，Regmon用来监控注册表的读写操作过程。Procmon其实就是Filemon和Regmon的组合，可以对系统中的任何文件和注册表同时进行监控和记录。通过注册表和文件读写的变化，有利于诊断系统发生故障