process monitor教程汇总

 

 

 

这是只一个简单的例子，当然还有更复杂的规则说明，可以参考一下列表里的规则。

最后说下

process monitor

到底有什么用？

除了那些电脑高手喜欢分析程序运行情况外，

还有那些编程人员对程序运行情况的分析，

及查找电脑内是否有

木马的情况等。

第二部分：一个使用实例

(

微软

Process Monitor

证实“窥私门”事件

)

近期，

360

隐私保护器曝出腾讯

“

窥私门

”

事件。无数网民发现，

QQ

聊天工具在暗中密集扫描电脑硬盘、窥视

用户的隐私文件，

另两款聊天工具

MSN

和阿里旺旺则没有类似行为。

随即有网友曝料称，

早有人通过微软

process

monitor

（进程监视工具）发现

QQ

窥私的秘密。

据悉，

process monitor

是微软旗下的

Windows

系

统进程监视工具，

能够对系统中的任何文件和注册表操作进行监视和记录，

帮助用户判断某款软件是否存在

“

越

轨

”

行为。与

360

隐私保护器相比，

process monitor

采用了类似的原理，但是监测对象更广泛，适合具备一定电

脑知识的用户使用。

笔者下载安装了最新的

process monitor 2.93

版，并开启

QQ

、

MSN

、阿里旺旺、飞信等聊天工具进行对比

测试。在运行这些软件后，既不点击软件面板上的任何按钮，也不进行任何操作，以此判断它们有没有在后台悄悄

“

翻看

”

用户的隐私文件。

process monitor

监测记录表明，

QQ

不仅会自动访问许多与聊天无关的程序和文档，例如

“

我的文档

”

等敏感

位置，测试当天的上网记录也没能幸免。随后，

QQ

还会产生大量网络通讯，很可能是将数据上传到腾讯服务器。

短短

10

分钟内，

它访问的无关文件和网络通讯数量多达近万项！

MSN

等其它聊天工具的行为则要规矩得多，

只是

访问了自身文件和必要的系统文件。

process monitor

验证：自动访问用户上网记录等隐私数据，并进行网络通讯

经验证，

QQ

偷偷访问的隐私信息几乎覆盖了用户上网的一举一动，包括看过哪些网页、装了哪些软件、电脑

桌面上有哪些文件、所有

Office

文档、甚至电脑登陆所有网站、博客、邮箱的登陆信息

cookies

缓存文件，完全

在

QQ

的监控范围之内。

鉴于

process monitor

是微软提供的工具，

其验证结果无疑非常客观、

准确。

读者可参考以下步骤自行操作，

亲眼看看

QQ

对你隐私的掌握是不是已经到了无孔不入的地步：

1

、访问下载并安装

process monitor v2.93

；

2

、运行

process monitor

，在

Filter

菜单中设置监测过滤条件，包括：

1) Process name is qq.exe, Include

（监测并记录

QQ

进程的活动）

2) Path contains tencent, Exclude

（排除

QQ

访问自身文件的活动）

3) Path begins with C:\windows, Exclude

（排除

QQ

访问系统文件的活动）

3

、在软件界面中选择

Show File System Activity

（

QQ

进程访问的文件），去除对注册表的监测显示，让

监测结果更加直观。如下图：

 

第三部分：一个山寨版使用说明书

一、概述

此软件主要功能是：监控文件、注册表、进程、网络访问、事件。

二、详细功能

1

、可以显示每条监控记录的详细信息

双击指定记录，或者右键

->

属性就可以查看具体详细信息。

2

、转到

在指定的记录上右键

->Jump to

可以转到相应的注册表键或者文件上。

3

、

Process Tree

进程树显示，

Tool->Process Tree(Ctrl+T)

，顾名思义，显示进程详细信息，及调用关系。

4

、活动进程、文件、注册表、栈、网络、引用总结

对当前监控的总括描述，通过菜单

Tool

进入相应功能。

二、软件设置

1

、设置显示的列

Options->Select Columns,

具体每列代表的意思如下

(

英文

,

为了防止歧义这里就不翻译了

).

Application Details



Process Name

The name of the process in which an event occurred.



Image Path

The full path of the image running in a process.



Command Line

The command line used to launch a process.



Company Name

The text of the company name version string embedded in a process image

file. This text is optionally defined by the application developer.



Description

The text of the product description string embedded in a process image file. This

text is optionally defined by the application developer.



Version

The product version number embedded in a process image file. This information is

optionally specified by the application developer.

Event Details



Sequence Number

The relative position of the operation with respect to all events included

in the current filter.



Event Class

The class (File, Registry, Process) of the event.



Operation

The specific event operation (e.g. Read, RegQueryValue, etc.).



Date & Time

Both the date and the time of an operation.



Time of Day

Only the time of an operation.



Path

The path of the resource that an event references.



Detail

Additional information specific to an event.



Result

The status code of a completed operation.



Relative Time

The time of the operation relative to Process Monitor's start time or the last

time that the Process Monitor display was cleared.



Duration

The duration of an operation that has completed.

Process Management



User Name

The name of the user account in which the process that performed an operation

is executing.



Session ID

The Windows session in which the process that executed an operation is

executing.



Authentication ID

The logon session in which the process that executed an operation is

executing.



Process ID

The Process ID (PID) of the process that executed an operation.



Thread ID

The Thread ID (TID) of the thread that executed an operation.



Integrity Level

The integrity level at which the process that executed an operation is running

(Windows Vista only).



Virtualized

The virtualization status of the process that executed an operation (Windows

Vista only).

2

、过滤显示内容

Filter->Filter(Ctrl+L),

这里的过滤设置很灵活，看下图便知

3

、高亮度显示指定条件的内容

Filter->Highlight(Ctrl+H)

，条件的设置跟过滤一样

4

、清屏和自动滚动

清屏

Edit->Clear Display(Ctrl+X)

自动滚动保持最新的记录在最下面滚动显示

Edit->Auto Scroll(Ctrl+A)

5

、其他设置

其他设置还包括，打开、保存、备份文件，导入、导出配置文件，保存和导入过滤设置文件，字体设置等基本

设置，不一一类举，使用时一看便知。