本文作者:小羽

追踪广告_木马新神器_基于系统服务的ProcessMonitor

小羽 2年前 ( 2017-10-27 ) 1811 抢沙发
追踪广告_木马新神器_基于系统服务的ProcessMonitor 摘要: 使用方法------------------------------------- 无盘服务器上挂盘,将“ProcessMonitorService”整个文件夹复制到挂载的盘符中任...

ProcessMonitor.png

使用方法
------------------------------------

  • - 无盘服务器上挂盘,将“ProcessMonitorService”整个文件夹复制到挂载的盘符中任意文件夹内,执行“挂盘安装器”进行安装或卸载。安装后将创建一个名为PMS的系统服务,用于在开机后立即启动ProcessMonitor在后台(无界面静默)进行系统动作抓取,并保存ProcessMonitor的记录文件,保存的记录文件(*.pml)可随时随地用ProcessMonitor打开查看,日志路径支持共享路径,文件名支持以计算机名命名,详细配置请修改配置文件config.ini.

  • - 捕获到了日志文件如何使用?找一个有ProcessMonitor程序的电脑上,打开日志文件(*.pml)即可,请注意灵活使用过滤器,因为日志内容可能非常庞当。


达成目的
------------------------------------

  • - 抓取系统行为日志文件(*.pml),用于分析恶意行为,比如创建广告文件,然后根据实际情况使用安全软件来去广告,比如维护大师最新版。



亮点
------------------------------------

  • - 基于系统服务启动,能在所有应用层恶意软件启动之前开始捕获并记录日志

  • - 后台静默隐藏记录,不干扰网吧顾客上网

  • - 支持定时自动退出,支持自定义日志文件位置和名称



为什么要创建系统服务来抓取行为?
------------------------------------
传统使用ProcessMonitor的方法是直接打开,或加到开机通道、或注册表启动项,这样做的话,当ProcessMonitor开始抓取时,大多数恶意程序已运行了或已经干完它的事了,所以需要以系统服务的形式来启动ProcessMonitor,这样可最准确、最完整的捕获系统中的进程行为,帮助我们快速精准定位广告、木马来源。


关于ProcessMonitor的作用
-------------------------------------
Process monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常有用。 这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。

2017-10-22 更新,新增了挂盘安装器,免去开超管安装的烦恼。


ProcessMonitor大小:710KB | 来源:死性不改 | 提取码:nb32
已经过安全软件检测无毒,请您放心下载。


文章版权及转载声明:

作者:小羽本文地址:https://www.shykx.com/tool/65.html发布于 2年前 ( 2017-10-27 )
文章转载或复制请以超链接形式并注明出处爱分享吧|软件分享平台

分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (暂无评论,1811人围观)参与讨论

还没有评论,来说两句吧...