Process monitor工具的使用:Process Monitor是一款系统进程监视软件,该工具可以对系统中的文件和注册表操作、网络通讯等同时进行监视和记录。
1.打开&保存
上图的1分别是“打开”和“保存”的快捷键。
点击“打开”按钮可选择pml文件并打开进行分析;获取完成后,点击“保存”按钮可选择路径并将信息保存成pml文件。
2.开始/停止
按钮2为开始收集或停止收集的按钮。
启动Procmon.exe后则自动开始收集,需停止收集则点此按钮;若当前是停止收集状态,点击此按钮则开始收集。
3.清空
按钮3为清空信息的按钮。
当下方已输出信息但不需要的时候,点击此按钮清空所有信息。
4.过滤器
对获取到的信息进行分析时,可点击4过滤器按钮,可针对进程名、进程ID、操作、路径、结果等做过滤设置,条件包括is、is not、less/more than、begin/end with、contains、exclude/include等。
5.查看进程树
可查看当前收集到信息的整个进程树情况
6.可监视到的四种操作信息:注册表、文档、网络、映像加载
根据具体需要获取和分析的情况,点击这四个按钮调整要获取/查看的信息。
抓包步骤
1、 以管理员身份运行process monitor
2、 打开后如果有以下过滤界面,选中Reset键清除》OK
3、 清除信息》开启抓包,并开启
4、 正常执行操作使用需要抓包的软件
5、 执行完软件后,停止抓包
6、 保存设置,并将文件发回给厂家
0755-2267-6166
企业地址:深圳市南山区西丽街道打石一路
深圳国际创新谷七栋D座-A502室