这是只一个简单的例子,当然还有更复杂的规则说明,可以参考一下列表里的规则。

最后说下

process monitor

到底有什么用?

除了那些电脑高手喜欢分析程序运行情况外,

还有那些编程人员对程序运行情况的分析,

及查找电脑内是否有

木马的情况等。

第二部分:一个使用实例

(

微软

Process Monitor

证实“窥私门”事件

)

近期,

360

隐私保护器曝出腾讯

窥私门

事件。无数网民发现,

QQ

聊天工具在暗中密集扫描电脑硬盘、窥视

用户的隐私文件,

另两款聊天工具

MSN

和阿里旺旺则没有类似行为。

随即有网友曝料称,

早有人通过微软

process

monitor

(进程监视工具)发现

QQ

窥私的秘密。

据悉,

process monitor

是微软旗下的

Windows

统进程监视工具,

能够对系统中的任何文件和注册表操作进行监视和记录,

帮助用户判断某款软件是否存在

行为。与

360

隐私保护器相比,

process monitor

采用了类似的原理,但是监测对象更广泛,适合具备一定电

脑知识的用户使用。

笔者下载安装了最新的

process monitor 2.93

版,并开启

QQ

MSN

、阿里旺旺、飞信等聊天工具进行对比

测试。在运行这些软件后,既不点击软件面板上的任何按钮,也不进行任何操作,以此判断它们有没有在后台悄悄

翻看

用户的隐私文件。

process monitor

监测记录表明,

QQ

不仅会自动访问许多与聊天无关的程序和文档,例如

我的文档

等敏感

位置,测试当天的上网记录也没能幸免。随后,

QQ

还会产生大量网络通讯,很可能是将数据上传到腾讯服务器。

短短

10

分钟内,

它访问的无关文件和网络通讯数量多达近万项!

MSN

等其它聊天工具的行为则要规矩得多,

只是

访问了自身文件和必要的系统文件。

process monitor

验证:自动访问用户上网记录等隐私数据,并进行网络通讯

经验证,

QQ

偷偷访问的隐私信息几乎覆盖了用户上网的一举一动,包括看过哪些网页、装了哪些软件、电脑

桌面上有哪些文件、所有

Office

文档、甚至电脑登陆所有网站、博客、邮箱的登陆信息

cookies

缓存文件,完全

QQ

的监控范围之内。

鉴于

process monitor

是微软提供的工具,

其验证结果无疑非常客观、

准确。

读者可参考以下步骤自行操作,

亲眼看看

QQ

对你隐私的掌握是不是已经到了无孔不入的地步:

1

、访问下载并安装

process monitor v2.93

2

、运行

process monitor

,在

Filter

菜单中设置监测过滤条件,包括:

1) Process name is qq.exe, Include

(监测并记录

QQ

进程的活动)

2) Path contains tencent, Exclude

(排除

QQ

访问自身文件的活动)

3) Path begins with C:\windows, Exclude

(排除

QQ

访问系统文件的活动)

3

、在软件界面中选择

Show File System Activity

QQ

进程访问的文件),去除对注册表的监测显示,让

监测结果更加直观。如下图:

 

第三部分:一个山寨版使用说明书

一、概述

此软件主要功能是:监控文件、注册表、进程、网络访问、事件。

二、详细功能

1

、可以显示每条监控记录的详细信息

双击指定记录,或者右键

->

属性就可以查看具体详细信息。

2

、转到

在指定的记录上右键

->Jump to

可以转到相应的注册表键或者文件上。

3

Process Tree

进程树显示,

Tool->Process Tree(Ctrl+T)

,顾名思义,显示进程详细信息,及调用关系。

4

、活动进程、文件、注册表、栈、网络、引用总结

对当前监控的总括描述,通过菜单

Tool

进入相应功能。

二、软件设置

1

、设置显示的列

Options->Select Columns,

具体每列代表的意思如下

(

英文

,

为了防止歧义这里就不翻译了

).

Application Details

Process Name

The name of the process in which an event occurred.

Image Path

The full path of the image running in a process.

Command Line

The command line used to launch a process.

Company Name

The text of the company name version string embedded in a process image

file. This text is optionally defined by the application developer.

Description

The text of the product description string embedded in a process image file. This

text is optionally defined by the application developer.

Version

The product version number embedded in a process image file. This information is

optionally specified by the application developer.

Event Details

Sequence Number

The relative position of the operation with respect to all events included

in the current filter.

Event Class

The class (File, Registry, Process) of the event.

Operation

The specific event operation (e.g. Read, RegQueryValue, etc.).

Date & Time

Both the date and the time of an operation.

Time of Day

Only the time of an operation.

Path

The path of the resource that an event references.

Detail

Additional information specific to an event.

Result

The status code of a completed operation.

Relative Time

The time of the operation relative to Process Monitor's start time or the last

time that the Process Monitor display was cleared.

Duration

The duration of an operation that has completed.

Process Management

User Name

The name of the user account in which the process that performed an operation

is executing.

Session ID

The Windows session in which the process that executed an operation is

executing.

Authentication ID

The logon session in which the process that executed an operation is

executing.

Process ID

The Process ID (PID) of the process that executed an operation.

Thread ID

The Thread ID (TID) of the thread that executed an operation.

Integrity Level

The integrity level at which the process that executed an operation is running

(Windows Vista only).

Virtualized

The virtualization status of the process that executed an operation (Windows

Vista only).

2

、过滤显示内容

Filter->Filter(Ctrl+L),

这里的过滤设置很灵活,看下图便知

3

、高亮度显示指定条件的内容

Filter->Highlight(Ctrl+H)

,条件的设置跟过滤一样

4

、清屏和自动滚动

清屏

Edit->Clear Display(Ctrl+X)

自动滚动保持最新的记录在最下面滚动显示

Edit->Auto Scroll(Ctrl+A)

5

、其他设置

其他设置还包括,打开、保存、备份文件,导入、导出配置文件,保存和导入过滤设置文件,字体设置等基本

设置,不一一类举,使用时一看便知。

process monitor教程汇总的更多相关文章

  1. 文件翻译002片:Process Monitor帮助文档(Part 2)

    [筛选亮点] Process Monitor提供了一些方式来配置筛选器和高亮显示.         筛选器的包括与排除 您能够在筛选器中指定事件的属性,这样就能够令Process Monitor仅显示 ...

  2. 文档翻译第002篇:Process Monitor帮助文档(Part 2)

    [筛选与高亮显示] Process Monitor提供了一些方式来配置筛选器和高亮显示.         筛选器的包含与排除 您可以在筛选器中指定事件的属性,这样就可以令Process Monitor ...

  3. 利用 Process Monitor 找出某个 Windows 选项所对应的注册表值

    多 时候我们要调整一项 Windows 的功能时只需更改一下注册表即可实现.而很多大家眼中所谓的高手,对 Windows 注册表更是玩得出神入化.难道这些高手把 Windows 注册表都记下来了?答案 ...

  4. ASP.NET MVC 教程汇总

    自学MVC看这里——全网最全ASP.NET MVC 教程汇总   MVC架构已深得人心,微软也不甘落后,推出了Asp.net MVC.小编特意整理博客园乃至整个网络最具价值的MVC技术原创文章,为想要 ...

  5. 推荐一个有趣的软件"Process Monitor"

    同事给的,用起来感觉很不错,官网地址:http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx 以下为官网介绍: Introducti ...

  6. 全网最全ASP.NET MVC 教程汇总

    全网最全ASP.NET MVC 教程汇总 MVC架构已深得人心,微软也不甘落后,推出了Asp.net MVC.小编特意整理博客园乃至整个网络最具价值的MVC技术原创文章,为想要学习ASP.NET MV ...

  7. Process Monitor V2.96 (系统监视工具) 汉化免费绿色版

    软件名称: Process Monitor V2.96 (系统监视工具) 汉化免费绿色版软件语言: 简体中文授权方式: 免费软件运行环境: Win7 / Vista / Win2003 / WinXP ...

  8. ASP.NET 教程汇总

    channel9 https://channel9.msdn.com/ .net core项目实战 https://study.163.com/course/introduction.htm?cour ...

  9. 自学MVC看这里——全网最全ASP.NET MVC 教程汇总(转)

    自学MVC看这里——全网最全ASP.NET MVC 教程汇总   MVC架构已深得人心,微软也不甘落后,推出了Asp.net MVC.小编特意整理博客园乃至整个网络最具价值的MVC技术原创文章,为想要 ...

随机推荐

  1. 水仙花数---基于python

    # coding:utf-8"""水仙花数是指一个 n 位数(n≥3 ),它的每个位上的数字的 n 次幂之和等于它本身(例如:1^3 + 5^3+ 3^3 = 153) ...

  2. vue.js学习之 如何在手机上查看vue-cli构建的项目

    vue.js学习之 如何在手机上查看vue-cli构建的项目 一:找到config文件夹下的index.js文件,打开后,将host的值改为你本地的ip,保存后重启项目 二:输入ip和端口号打开项目 ...

  3. 20145214 《Java程序设计》第1周学习总结

    20145214 <Java程序设计>第1周学习总结 教材学习内容总结 第一章 了解了Java的诞生和版本演进的历史,目前的最新版本是Java SE8. java的三大平台分别是Java ...

  4. Java常用类之Math类

    Java 的常用类Math类: java.lang.Math 提供了系列的静态方法用于科学计算,其方法的参数和返回值类型一般为 double 类型. 如: 1. public static final ...

  5. GPS定位,经纬度附近地点查询–C#实现方法

              摘要:目前的工作是需要手机查找附近N米以内的商户,功能如下图数据库中记录了商家在百度标注的经纬度(如:116.412007,39.947545),最初想法以圆心点为中心点,对半径做 ...

  6. 【week2】 构建之法 读后感及问题

    上一次读后感涵盖前五章的内容包括个人技术,结对合作,小组项目等.本周作业的燃尽图以及站立会议是关于<构建之法>第六章的内容,所以关于这一章的读后感涵盖在上两篇博客中. 第七章 MSF 介绍 ...

  7. 多线程Worker初尝试

    多线程这个概念,不知道听了多少遍.但是真滴没有去实操过. 前几天看视频听到作者说道关注技术本身,而不是总写业务代码.这几天依然思考着这个问题.于是从头开始重现了html文件的堵塞问题,重现了html文 ...

  8. 发送tcp的时候,数据包是如何拷贝的

    发送数据包的时候,用户态的数据包是如何拷贝到内核的kiovec msghd 结构体 icmp是走sock吗? 每一个skb_buffer的大小都是固定的吗?所以有skb_available这样的函数 ...

  9. vs code 自动补全效果不理想的问题

    之前一直用webstorm,最近换换口味,改用了VS Code,发现VS Code 智能提示得到的都不是我想要的 就比如  ! + tab ,HTML结构都出不来.经过一番搜索,发现是 VS Code ...

  10. RT-thread 设备驱动组件之PIN设备

    在RT-thread 2.0.0正式版中引入了pin设备作为杂类设备,其设备驱动文件pin.c在rt-thread-2.0.1\components\drivers\misc中,主要用于操作芯片GPI ...