使用ProcMon及windows symbols进行文件操作类API定位

最新推荐文章于 2024-10-03 09:12:29 发布
原创 最新推荐文章于 2024-10-03 09:12:29 发布 · 3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #api #exe #dll #微软 #c

本文分享了使用ProcMon 2.8进行文件操作类API跟踪的方法。通过正确配置Symbols路径及DLL或EXE文件路径,可以成功捕获并分析系统调用堆栈,为调试和性能分析提供有力支持。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      一直想使用ProcMon进行文件操作类API跟踪,但一直未能成功,今天终于实现,现与大家分享。

    我使用的是ProcMon2.8,大家到微软网站下载适合自己操作系统版本的Symbols文件。安装Symbols文件后,打开ProcMon,选择Options->Configure Symbols,弹出如下对话框

 

 

图一

 

请在SymbolPaths下填写你的Symbols文件所在路径,我的是c:/windows/Symbols;同时最为重要的一点,请将对应的DLLEXE文件所在路径填写,如Kernel32.dll一般在c:/windows/system32/;目录下,驱动一般在c:/windows/System32/drivers; 此乃成功之关键。呵呵。

至此,你可以开始捕获数据,然后暂停捕获,选择一个如文件处理类的event,双击,选择Stack,出现如下对话框,一切尽在掌握中。呵呵。

图二

 

 

希望对你有帮助。如果有问题,请沟通。

 

 

ytfrdfiw
关注
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
杨秀璋的专栏
02-26 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助。
procmon】进程监控实现(一)
Nanobobo在学习
07-30 2610
来来回回用了好几天折腾崩掉了三个虚拟机,终于把程序跑通了,现在把其中的坑记录一下,爬坑是要长经验的,切记! 在这个时间段,记录下这些坑,给自己第一篇技术博客开个头: 前期准备: 我用的是Ubuntu16.04 1.vim安装与使用 sudo apt-get install vim 后面由于要装不少东西,这里修改了apt的源。 源文件备份 sudo cp /etc/apt/sourc...
procmon符号配置
darthas的专栏
08-27 1919
在Options-Configure Symbols里设置,似windbg的设置那样 srv*D:\Symbols*http://symbol1.corp.qihoo.net/QihooSymbols/index.php;c:\windows\system32;c:\windows\;c:windows\system32\drivers 某些情况符号就是加载不了,设置环境变量DB
深入探索系统进程监视工具procmon
weixin_33582089的博客
10-03 3810
本文还有配套的精品资源,点击获取 简介:ProcMon是一个由Sysinternals团队开发的系统级监控工具,实时记录文件系统、注册表和网络活动,帮助管理员和开发者诊断和调试系统问题。它监视进程活动,记录进程创建与终止,父子关系,以及系统资源使用情况,优化性能。ProcMon还提供文件操作和注册表监视,过滤功能以及数据导出选项,使得分析和问题解决变得高效。常用于故障排除、...
借助Process Monitor(ProcMon.exe)逆向一个CrackMe
lixiangminghate的专栏
06-27 1307
一位名为Arkantos的作者,在Crackmes.cf(Crackme.de的镜像站点)站点上提交了一个Crackme,难度级别为1-very_easy_for_newbies。这种入门级别的Crackme其实不足以写博客,只是它的逆向过程正好可以用Process Monitor来完成,写这篇文章就当做Process Monitor的一个实例吧。 作者信誓旦旦的说该crack...
【网络编程实践--陈硕】2.4.4 procmon 程序的设计实现
专注于C/C++/Linux领域创作
12-01 1087
procmon 设计思想 要如何实现这样一个 procmon 程序。 从框架的设计上我们可以采用(主动式监控的)侵入式设计,也可以使用(被动式监控的)非侵入式设计,同时针对web页面中的绘图功能也有多种解决方案。 侵入式 or 非 侵入式:(Intrusive or non-intrusive) 侵入式:将程序做成一个库,被监控程序主动使用该库暴露其内部状态。 优点:可以暴露其内部数据,例如运行期间收到多少次请求、成功/失败次数、响应情况、延迟等。因为侵入式监控程序,和被监控的程序在同一个地址空间中,
49.Procmon软件基本用法及文件进程、注册表查看1
08-03
【网络安全自学篇】 Procmon软件基本用法及文件进程、注册表查看 一、Procmon基本介绍 Procmon,全称Process Monitor,是由微软Sysinternals团队开发的一款强大的系统监控工具。它能够实时记录系统中发生的各种...
掌握系统运行: 使用Procmon监控Windows程序
1. 文件系统活动:监视系统中所有进程对文件及文件夹的读、写、创建和删除操作,可以查看程序尝试访问文件的具体路径和文件名。 2. 注册表活动:监控对注册表的读取和写入操作,包括哪些进程修改了注册表以及具体...
Windows进程监视器(Procmon-微软官网版本)
02-16
3. **Procmon64a.exe** 和 **Procmon64.exe**: 这两个文件是64位版本的Procmon,用于64Windows操作系统。 4. **Eula.txt**: 许可协议文件,用户在使用Procmon之前应阅读并同意其中的条款。 总结来说,Windows...
Procmon 2.91:Windows权限追踪工具,兼容Win7及操作手册
总而言之,Procmon 2.91是一款专为Windows操作系统设计的权限追踪工具,它能够帮助管理员和IT专业人员追踪和监控文件系统、注册表、进程和线程活动,特别是在解决权限相关问题时非常有用。附带的操作手册将指导用户...
openprocmon:开源过程监控器
05-08
Openprocmon 开源过程监控器 菜单 如何使用 使用procmon gui。 (生成并运行procmon_gui.exe) 在您的专案中使用SDK(建立并连结SDK) 破解驱动程序以实现您自己的EDR或其他功能。 您自己没有数字签名? 没关系您可以使用原始procmon驱动程序,此sdk与原始procmon驱动程序100%兼容。 当然,原始的procmon驱动程序可以替换为该驱动程序,以了解procmon的工作方式。 如何建造 准备环境 WDK 安装最后一个WDK WTL 下载最后一个WTL库,然后将其放在任何您喜欢的文件夹中。 例如,我将其放在“ D:\ source \ WTL10_9163”中 视觉工作室 打开procmon.sln使用Visual Studio 将procmon_gui的附加包含目录从“ D:\ source \ WTL10_9163 \
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作
12-03
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作,localizer、hacker 或 cracker 必备。
推荐开源项目:ProcMonX — 高级进程监控工具
gitblog_00059的博客
05-22 664
推荐开源项目:ProcMonX — 高级进程监控工具 项目地址:https://gitcode.com/gh_mirrors/pr/ProcMonX 一、项目介绍 ProcMonX 是一款基于事件追踪(Event Tracing for Windows, ETW)的高级进程监控工具,似于经典的 Sysinternals 工具 Process Monitor。与后者不同的是,ProcMonX 不依...
Procmon Monitor简介
踏雪无痕
12-20 3690
这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。   此版本的 Process Monitor 增加了多项重要增强功能,包括稳定性和性能改进,强大的过滤选项,修正的进程树对话框(增加了进程存活时间图表),可根据点击位置变换的右键菜单过滤条目,集成带源代码存储的堆栈跟踪对话框,更快的堆栈跟踪,可在 6
Linux C/C++网络编程实战-陈硕-笔记23-procmon代码解析
AnitaSun的博客
05-03 700
#include "plot.h" #include <muduo/base/FileUtil.h> #include <muduo/base/ProcessInfo.h> #include <muduo/net/EventLoop.h> #include <muduo/net/http/HttpRequest.h> #include <muduo/net/http/HttpResponse.h> #include <muduo/net/h
Win7 安装最新版本Process Monitor失败,“无法加载驱动”
wang1791499553的博客
10-17 4984
Win7 安装最新版本Process Monitor失败,“无法加载驱动”
文档翻译第002篇:Process Monitor帮助文档(Part 2)
Gleam的专栏
10-28 2710
【筛选与高亮显示】         Process Monitor提供了一些方式来配置筛选器和高亮显示。         筛选器的包含与排除         您可以在筛选器中指定事件的属性,这样就可以令Process Monitor仅显示或排除与您所指定的属性值相匹配的事件。所有的筛选器都是无损检测,也就是说这仅会对Process Monitor显示事件的方式产生影响,而不会影响潜在的事件数
两款监控工具Procmon,procexplorer
zhuhuibeishadiao
03-31 1936
Procmon 进程 注册表 文件 等等的操作 并能看到这个操作是否成功 有助于我们解释奇怪的想象 procexplorer 进程管理 可以看到很多的属性
Procmon监控软件使用教程
热门推荐
lxiao428的博客
10-10 2万+
软件的下载链接:https://download.youkuaiyun.com/download/lxiao428/10711509 Procmon微软出品用于监视Windows系统里程序的运行情况,监视内容包括该程序对注册表的读写、对文件的读写、网络的连接、进程和线程的调用情况,procmon是一款超强的系统监视软件。 下载完成之后,直接启动procmon.exeprocmon会自动扫描分析系统当...
Windows调试套件
最新发布
03-12
<think>嗯,用户现在问的是关于Windows调试套件的问题。我需要先理解他到底想知道什么。可能他遇到了程序崩溃或者需要调试应用程序,所以想了解有哪些工具和库可以用。 首先,我要回忆一下Windows调试工具的主要部分。肯定是WinDbg,还有Visual Studio的调试器,可能还有KD、CDB这些。另外,用户可能还需要知道如何安装这些工具,比如通过SDK或者WDK。 然后,用户可能关心的是调试套件的组成,比如核心工具是什么,依赖哪些系统组件,比如调试引擎、符号文件、系统库等。还有,是否需要特定的安装方式,比如从Microsoft Store下载还是独立安装包。 还要考虑用户的使用场景。他可能是一个开发者,或者系统管理员,需要调试应用程序或驱动。如果是驱动调试,可能需要WDK,而普通应用可能用SDK里的工具就够了。另外,用户可能对符号服务器(Symbol Server)不太熟悉,需要解释一下。 可能用户之前接触过QWebEngineView的依赖问题,现在转向调试工具,所以需要结构清晰的回答,分点说明,像之前的回答那样。要注意不要遗漏关键点,比如WinDbg Preview和经典版的区别,Visual Studio的集成调试功能,还有符号配置的重要性。 另外,要注意系统要求,比如不同版本的Windows需要不同的工具版本,是否需要管理员权限来安装,以及如何配置环境变量或者符号路径。可能用户在实际使用中会遇到符号加载失败的问题,所以需要提到如何设置_NT_SYMBOL_PATH。 最后,要检查是否有最新的信息,比如工具是否已经更新,下载链接是否仍然有效,比如Windows SDK和WDK的官方链接,以及推荐的学习资源,帮助用户进一步学习。</think>以下是 Windows 调试套件的详细介绍,按功能分逐步说明: --- ### 一、核心调试工具 Windows 调试套件主要包含以下工具(通常通过 **Windows SDK** 或 **WDK** 安装): 1. **WinDbg**: - **经典版**:传统命令行调试器(`windbg.exe`),支持内核/用户态调试。 - **WinDbg Preview**:现代化界面版本(Microsoft Store 下载),集成逆向分析、时间线调试等功能。 2. **KD (Kernel Debugger)**: - 专用于内核模式调试(如驱动崩溃分析),需通过 `kd.exe` 启动。 3. **CDB (Console Debugger)**: - 轻量级命令行用户态调试器(`cdb.exe`),适合脚本化调试。 4. **NTSD (NT Symbolic Debugger)**: - 系统内置调试器(`ntsd.exe`),常用于附加到进程。 --- ### 二、调试套件依赖的核心组件 1. **调试引擎**: - `dbgeng.dll`:Windows 调试引擎核心库。 - `dbghelp.dll`:符号解析与堆栈回溯支持。 2. **符号系统**: - **符号服务器**:需配置 `https://msdl.microsoft.com/download/symbols` 下载系统符号。 - **符号文件**(`.pdb`):调试目标需生成匹配的 PDB 文件。 3. **系统库依赖**: - `kernel32.dll`, `ntdll.dll`:系统底层交互接口。 - 调试驱动(如 `kdbgctrl.sys` 用于内核调试)。 --- ### 三、安装方式 1. **独立安装**: - 从 [Windows SDK 下载页](https://developer.microsoft.com/zh-cn/windows/downloads/windows-sdk/) 安装 **Debugging Tools for Windows**(勾选调试工具选项)。 2. **WDK 集成**: - 安装 [Windows Driver Kit (WDK)](https://learn.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk) 时自动包含调试工具。 3. **WinDbg Preview**: - 通过 Microsoft Store 直接安装(推荐用于现代调试需求)。 --- ### 四、调试场景与工具选择 | **场景** | **推荐工具** | **关键命令/操作** | |------------------------|----------------------------|------------------------------------------| | 用户态程序崩溃分析 | WinDbg Preview/CDB | `!analyze -v`, `.dump /ma <file>` | | 内核蓝屏(BSOD)分析 | WinDbg + KD | `!analyze -v`, `lm` 查看加载模块 | | 实时进程附加调试 | WinDbg/NTSD | `F6` 附加进程,`g` 继续运行 | | 驱动程序调试 | WinDbg + WDK(双机调试) | `ed Kd_DEFAULT_Mask 8` 启用调试输出 | --- ### 五、关键配置步骤 1. **符号路径配置**: ```bash # 设置符号服务器和本地缓存 .sympath srv*C:\Symbols*https://msdl.microsoft.com/download/symbols ``` 或通过环境变量: ```bash set _NT_SYMBOL_PATH=srv*C:\Symbols*https://msdl.microsoft.com/download/symbols ``` 2. **内核调试配置**: - 修改 `bcdedit` 启用调试端口: ```bash bcdedit /debug on bcdedit /dbgsettings serial debugport:1 baudrate:115200 ``` --- ### 六、扩展工具与资源 1. **ProcMon**(Process Monitor):实时监控文件/注册表/进程活动。 2. **RAMMap**:分析物理内存使用情况。 3. **DebugDiag**:自动化生成崩溃转储文件(`.dmp`)。 4. **官方文档**: - [WinDbg 命令参考](https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-commands) - [Windows 调试策略](https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/index) --- ### 七、常见问题 1. **符号加载失败**: - 检查网络连接和符号路径权限。 - 使用 `!sym noisy` 查看详细加载日志。 2. **双机调试连接超时**: - 确认串口/USB 电缆连接正常。 - 禁用防火墙对调试端口的拦截。 建议优先使用 **WinDbg Preview** + **最新 Windows SDK** 组合,兼顾兼容性和功能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值