process monitor抓包(步骤)
来源: | 作者:安亚信科技 | 发布时间: 2023-05-31 | 479 次浏览 | 分享到:

Process monitor工具的使用:Process Monitor是一款系统进程监视软件,该工具可以对系统中的文件和注册表操作、网络通讯等同时进行监视和记录。

 

1.打开&保存

上图的1分别是打开保存的快捷键。

点击打开按钮可选择pml文件并打开进行分析;获取完成后,点击保存按钮可选择路径并将信息保存成pml文件。

2.开始/停止

按钮2为开始收集或停止收集的按钮。

启动Procmon.exe后则自动开始收集,需停止收集则点此按钮;若当前是停止收集状态,点击此按钮则开始收集。

3.清空

按钮3为清空信息的按钮。

当下方已输出信息但不需要的时候,点击此按钮清空所有信息。

4.过滤器

对获取到的信息进行分析时,可点击4过滤器按钮,可针对进程名、进程ID、操作、路径、结果等做过滤设置,条件包括isis notless/more thanbegin/end withcontainsexclude/include等。

 5.查看进程树

可查看当前收集到信息的整个进程树情况

6.可监视到的四种操作信息:注册表、文档、网络、映像加载

根据具体需要获取和分析的情况,点击这四个按钮调整要获取/查看的信息。

抓包步骤

1、 以管理员身份运行process monitor

2、 打开后如果有以下过滤界面,选中Reset键清除》OK

 

3、 清除信息》开启抓包,并开启

 

 

4、 正常执行操作使用需要抓包的软件

5、 执行完软件后,停止抓包

 

6、 保存设置,并将文件发回给厂家