Программа Process Monitor. Автор: Марк Руссинович (Mark Russinovich)Опубликовано: 1.

Введение. Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows, который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ. К началу страницы. Преимущества программы Process Monitor над программами Filemon и Regmon. Пользовательский интерфейс программы Process Monitor и параметры схожи с интерфейсом и параметрами программ.

Regmon, но в программе Process Monitor есть ряд существенных улучшений, таких как: отслеживание запуска и завершения работы процессов и потоков, включая информацию о коде завершения; отслеживание загрузки образов (библиотек DLL и драйверов устройств, работающих в режиме ядра); больше собираемых данных об параметрах операций ввода и вывода; безвредные фильтры позволяют устанавливать фильтры, которые не будут приводить к потере данных; сбор стеков потоков для каждой операции позволяет в большинстве случаев определить исходную причину выполнения операции; достоверный сбор информации о процессах, включая путь к образу процесса, командную строку, а также ID пользователя и сессии; настраиваемые и перемещаемые колонки для каждого свойства события; фильтры можно установить на любое поле с данными, включая поля, которые не являются колонками; усовершенствованная архитектура записи журналов расширяет возможности программы до десятков миллионов зарегистрированных событий и гигабайтов записанных данных о событиях; дерево процессов отображает отношения между всеми процессами, перечисленными в сведениях трассировки; основной формат журнала сохраняет все данные, чтобы их можно было загрузить в другом экземпляре программы Process Monitor; подсказки к процессам для простого просмотра информации об образе процесса; детальные подсказки позволяют получить удобный доступ к форматированным данным, которые не помещаются в колонке; прекращаемый поиск; запись в журнал всех операций во время загрузки системы. Проще всего ознакомиться с возможностями программы Process Monitor, прочитав файл справки и попробовав воспользоваться каждым пунктом меню и настройкой программы на рабочей системе. К началу страницы. Снимки экрана. К началу страницы. Установка. Просто запустите программу Process Monitor (procmon. В файле справки программы Process Monitor приводится информация о доступных операциях и об использовании программы. При возникновении вопросов или проблем посетите форум на веб- узле Sysinternals, посвященный программе.
Программа Process Explorer отображает информацию об открытых процессом дескрипторах и загруженных им библиотеках DLL.
Process Monitor . К началу страницы.


Компьютерные процессы, работающие в фоновом режиме. Программы для мониторинга скрытых процессов. Автор: Дон Паркер (Don Parker)Вы когда- нибудь слышали выражение: «В тихом омуте черти водятся»? Это также применимо и к компьютерам. В то время, когда кажется, что компьютер простаивает, огромное количество процессов может работать в фоновом режиме.

Чтобы защитить свои программы от обнаружения, авторы троянских программ и. Одной из лучших программ для поиска скрытых процессов является .
Компьютер никогда не бывает в состоянии покоя, в настоящем смысле этого слова. В нем всегда что- то происходит. Нам может казаться, что он дремлет, но обычно он всегда что- то делает. Благодаря использованию таких инструментов, как Regmon.
Nt, Filemon. Nt, и Tdi. Mon. NT мы можем узнать, что делает наш компьютер. Есть такие прекрасные бесплатные инструменты, которые были написаны программистами компании Sysinternals. Компания Sysinternals недавно была куплена компанией Microsoft. Я смею заметить, что это одна из самых лучших покупок Microsoft за последнее время.
Иметь в своей команде таких людей, как Марк Руссинович (Mark Russinovich) и Дейв Соломон (Dave Solomon), может быть очень полезно. Почему так важно знать, что происходит на вашем компьютере в фоновом режиме? Итак, первое, что быстро приходит на ум, это важно для вас быть знакомым с процессами, которые запущены на используемых версиях Microsoft.
Если конечный пользователь сообщает об ошибке на своем компьютере, то, возможно, этот тот самый инструмент, который вы запустите для выявления проблемы. С другой стороны, лично для меня и тех из вас, кто занимается компьютерной безопасностью, это представляет другую область интересов. Нам также необходимо знать, какие процессы запущены на компьютере, но больший интерес представляет обнаружение вражеских процессов, которые могут делать вовсе не то, что кажется на первый взгляд. Работа с хакерским программным обеспечением в корпоративной сети– это гораздо более развивающаяся отрасль, чем кажется. Каждый день системные администраторы и сети, которые они контролируют, становятся мишенью хакерского программного обеспечения. Проблема заключается в том, что часто бывает очень сложно разобраться, как работает это хакерское программное обеспечение.
Очень часто в настоящее время хакерское программное обеспечение хорошо маскируется с помощью использования общих пакетов, таких как PEX. Это значит, что вам придется восстановить структурную схему части хакерского программного обеспечения, если вы не сможете распаковать его. Поэтому остаются лишь выполнить хакерское программное обеспечение, для того чтобы узнать, что оно делает. В этом самом случае нам на помощь придут выше упомянутые инструменты от компании Sysinternals. Вам необходимо отслеживать изменения реестра, файловой системы и других элементов после того, как вы захотите использовать хакерское программное обеспечение. Помня все это, давайте взглянем на эти три инструмента.
Regmon. Nt. Из названия этого инструмента можно догадаться, что он используется в качестве приложения для мониторинга реестра. Он используется для отслеживания всех программ, которые пытаются получить доступ к реестру, и его параметрам. Наконец, эта программа точно сообщит вам, какая часть реестра была прочитана или изменена, и что самое главное, эта программа покажет вам всю активность в реальном времени. Если вы думаете, что вам не плохо бы иметь такой инструмент, то вы совершенно правы! Давайте посмотрим на рисунок ниже, на котором изображен Regmon. Nt в действии. Из рисунка выше мы видим, что все изменения, которые делает Apache, регистрируются в строгом порядке Regmon.
Я попробую прокомментировать то, что мы здесь видим. Первым идет номер записи, в колонке под названием #.
Далее идет дата и время вплоть до миллисекунд, которая берется из вашего системных часов. Далее мы видим приложение, которое делает изменение в реестре.
В нашем случае это служба Apache Monitor service, за названием которой идет номер процесса равный 9. Далее идет колонка под названием . Далее идет колонка. Наконец, идет колонка .
Основная сложность при использовании этого инструмента заключается в том, чтобы четко разобраться с содержимым этой таблицы. Вам может понадобиться отфильтровать содержимое, которое вам не нужно, что вы можете сделать, выбрать меню . Эту возможность лучше изучить на практике. Мы можем увидеть, что этот инструмент замечательно поможет для отслеживания изменений в реестре, которые может внести хакерское программное обеспечение. Filemon. Nt. Filemon работает во многом аналогично инструменту Regmon с одним лишь отличием, что Filemon отслеживает изменения в файловой системы, и делает это в режиме реального времени как и Regmon.
Рисунок ниже способен заменить тысячу слов, поэтому давайте взглянем на Filemon в действии. Я снова кратко расскажу о назначении столбцов справа налево. Первым идет порядковый номер, за которым идет дата и время события без миллисекунд в этот раз. Но вы можете подключить эту возможность, если хотите, с помощью меню. Далее в колонке . Далее в колонке . Далее идет колонка .
Далее идет колонка . Наконец, есть колонка . Также, как я говорил про Regmon выше, очень вероятно, что вы захотите иметь такой инструмент для мониторинга изменений, которые могут внести хакерское программное обеспечение, благодаря динамическому анализу. Tdi. Mon. Nt. Этот инструмент позволит вам отслеживать, что происходить с протоколами TCP и UDP, которые используются для передачи информации, т. Поэтому этот инструмент может быть использован системными администраторами для устранения сетевых проблем.
На этом моменте давайте посмотрим на Tdi. Mon в действии. Вы уже знает принципы отображения информации, которые используются инструментами Sysinternals под названием Regmon и Filemon, а Tdi. Mon делает это точно также. Особый интерес для нас представляет поле . Оно точно сообщает вам программу, которая создала сокет, а также список его транспортных протоколов в столбце . Назначение остальных полей очевидно само по себе, т.
Для чего вам использовать этот инструмент? Как я упоминал, если вы работаете системным администратором, то он поможет вам отследить проблемы с сетью. Если вы работаете специалистом по компьютерной безопасности, то он позволит вам изучить хакерское программное обеспечение, выяснить, что он делает, по какому сокету оно общается с удаленным сервером в интернет.
Резюме. Все инструменты, о которых рассказывалось в этой статье, должны присутствовать в вашем арсенале, чтобы дальше совершенствовать ваши знания о компьютерах. Телефонный Справочник Рудный Казахстан Скачать подробнее. Они могут использоваться для нужд системного администрирования, а также для обеспечения безопасности компьютера. Они относительно просты в использовании, и после пяти или десяти минут работы с ними вы сможете понять их возможности. Я искренне поддерживают ваше стремление к изучению и использованию этих инструментов. Как всегда, жду ваших отзывов, и надеюсь, что эта статья была полезна для вас. Источник: winsecurity.