追踪广告_木马新神器_基于系统服务的ProcessMonitor

使用方法
------------------------------------

• - 无盘服务器上挂盘，将“ProcessMonitorService”整个文件夹复制到挂载的盘符中任意文件夹内，执行“挂盘安装器”进行安装或卸载。安装后将创建一个名为PMS的系统服务，用于在开机后立即启动ProcessMonitor在后台（无界面静默）进行系统动作抓取，并保存ProcessMonitor的记录文件，保存的记录文件（*.pml）可随时随地用ProcessMonitor打开查看，日志路径支持共享路径，文件名支持以计算机名命名，详细配置请修改配置文件config.ini.

• - 捕获到了日志文件如何使用？找一个有ProcessMonitor程序的电脑上，打开日志文件（*.pml）即可，请注意灵活使用过滤器，因为日志内容可能非常庞当。
  

达成目的
------------------------------------

• - 抓取系统行为日志文件（*.pml），用于分析恶意行为，比如创建广告文件，然后根据实际情况使用安全软件来去广告，比如维护大师最新版。
  

亮点
------------------------------------

• - 基于系统服务启动，能在所有应用层恶意软件启动之前开始捕获并记录日志

• - 后台静默隐藏记录，不干扰网吧顾客上网

• - 支持定时自动退出，支持自定义日志文件位置和名称
  

为什么要创建系统服务来抓取行为？
------------------------------------
传统使用ProcessMonitor的方法是直接打开，或加到开机通道、或注册表启动项，这样做的话，当ProcessMonitor开始抓取时，大多数恶意程序已运行了或已经干完它的事了，所以需要以系统服务的形式来启动ProcessMonitor，这样可最准确、最完整的捕获系统中的进程行为，帮助我们快速精准定位广告、木马来源。


关于ProcessMonitor的作用
-------------------------------------
Process monitor一款系统进程监视软件，总体来说，Process monitor相当于Filemon+Regmon，其中的Filemon专门用来监视系统 中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程。 有了Process Monitor，使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录，通过注册表和文件读写的变化， 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说，非常有用。 这是一个高级的 Windows 系统和应用程序监视工具，由优秀的 Sysinternals 开发，并且目前已并入微软旗下，可靠性自不用说。

2017-10-22 更新，新增了挂盘安装器，免去开超管安装的烦恼。