process monitor教程彙總

 

 

 

 

 

這是隻一個簡單的例子，固然還有更復雜的規則說明，能夠參考一下列表裏的規則。

 

最後說下

process monitor

到底有什麼用？

 

除了那些電腦高手喜歡分析程序運行狀況外，

還有那些編程人員對程序運行狀況的分析，

及查找電腦內是否有

木馬的狀況等。

 

第二部分：一個使用實例

(

微軟

Process Monitor

證明「窺私門」事件

) 

近期，

360

隱私保護器曝出騰訊

「

窺私門

」

事件。無數網民發現，

QQ

聊天工具在暗中密集掃描電腦硬盤、窺視

用戶的隱私文件，

另兩款聊天工具

MSN

和阿里旺旺則沒有相似行爲。

隨即有網友曝料稱，

早有人經過微軟

process 

monitor

（進程監視工具）發現

QQ

窺私的祕密。

 

 

 

據悉，

process monitor

是微軟旗下的

Windows

系

 

 

 

統進程監視工具，

可以對系統中的任何文件和註冊表操做進行監視和記錄，

幫助用戶判斷某款軟件是否存在

「

越

軌

」

行爲。與

360

隱私保護器相比，

process monitor

採用了相似的原理，可是監測對象更普遍，適合具有必定電

腦知識的用戶使用。

 

 

 

筆者下載安裝了最新的

process monitor 2.93

版，並開啓

QQ

、

MSN

、阿里旺旺、飛信等聊天工具進行對比

測試。在運行這些軟件後，既不點擊軟件面板上的任何按鈕，也不進行任何操做，以此判斷它們有沒有在後臺悄悄

「

翻看

」

用戶的隱私文件。

 

 

 

process monitor

監測記錄代表，

QQ

不只會自動訪問許多與聊天無關的程序和文檔，例如

「

個人文檔

」

等敏感

位置，測試當天的上網記錄也沒能倖免。隨後，

QQ

還會產生大量網絡通信，極可能是將數據上傳到騰訊服務器。

短短

10

分鐘內，

它訪問的無關文件和網絡通信數量多達近萬項！

MSN

等其它聊天工具的行爲則要規矩得多，

只是

訪問了自身文件和必要的系統文件。

 

process monitor

驗證：自動訪問用戶上網記錄等隱私數據，並進行網絡通信

 

 

經驗證，

QQ

偷偷訪問的隱私信息幾乎覆蓋了用戶上網的一舉一動，包括看過哪些網頁、裝了哪些軟件、電腦

桌面上有哪些文件、全部

Office

文檔、甚至電腦登錄全部網站、博客、郵箱的登錄信息

cookies

緩存文件，徹底

在

QQ

的監控範圍以內。

 

 

 

 

鑑於

process monitor

是微軟提供的工具，

其驗證結果無疑很是客觀、

準確。

讀者可參考如下步驟自行操做，

親眼看看

QQ

對你隱私的掌握是否是已經到了無孔不入的地步：

 

 

 

 

1

、訪問下載並安裝

process monitor v2.93

；

 

 

 

2

、運行

process monitor

，在

Filter

菜單中設置監測過濾條件，包括：

 

 

 

 

1) Process name is qq.exe, Include 

（監測並記錄

QQ

進程的活動）

 

 

 

2) Path contains tencent, Exclude 

（排除

QQ

訪問自身文件的活動）

 

 

 

3) Path begins with C:\windows, Exclude 

（排除

QQ

訪問系統文件的活動）

 

 

 

 

3

、在軟件界面中選擇

Show File System Activity

（

QQ

進程訪問的文件），去除對註冊表的監測顯示，讓

監測結果更加直觀。以下圖：

 

 

第三部分：一個山寨版使用說明書

 

1、概述

 

此軟件主要功能是：監控文件、註冊表、進程、網絡訪問、事件。

 

2、詳細功能

 

1

、能夠顯示每條監控記錄的詳細信息

 

 

雙擊指定記錄，或者右鍵

->

屬性就能夠查看具體詳細信息。

 

2

、轉到

 

 

在指定的記錄上右鍵

->Jump to

能夠轉到相應的註冊表鍵或者文件上。

 

3

、

Process Tree 

 

進程樹顯示，

Tool->Process Tree(Ctrl+T)

，顧名思義，顯示進程詳細信息，及調用關係。

 

 

4

、活動進程、文件、註冊表、棧、網絡、引用總結

 

 

對當前監控的總括描述，經過菜單

Tool

進入相應功能。

 

2、軟件設置

 

1

、設置顯示的列

 

 

Options->Select Columns,

具體每列表明的意思以下

(

英文

,

爲了防止歧義這裏就不翻譯了

). 

Application Details 



 

Process Name

 The name of the process in which an event occurred. 

 



 

Image Path

 The full path of the image running in a process. 



 

Command Line

 The command line used to launch a process. 



 

Company Name

 The text of the company name version string embedded in a process image 

file. This text is optionally defined by the application developer. 



 

Description

 The text of the product description string embedded in a process image file. This 

text is optionally defined by the application developer. 



 

Version

 The product version number embedded in a process image file. This information is 

optionally specified by the application developer. 

Event Details 



 

Sequence Number

 The relative position of the operation with respect to all events included 

in the current filter. 



 

Event Class

 The class (File, Registry, Process) of the event. 



 

Operation

 The specific event operation (e.g. Read, RegQueryValue, etc.). 



 

Date & Time

 Both the date and the time of an operation. 



 

Time of Day

 Only the time of an operation. 



 

Path

 The path of the resource that an event references. 



 

Detail

 Additional information specific to an event. 



 

Result

 The status code of a completed operation. 



 

Relative Time

 The time of the operation relative to Process Monitor's start time or the last 

time that the Process Monitor display was cleared. 



 

Duration

 The duration of an operation that has completed. 

 

Process Management 



 

User Name

 The name of the user account in which the process that performed an operation 

is executing. 

 



 

Session ID

The Windows session in which the process that executed an operation is 

executing. 



 

Authentication ID

 The logon session in which the process that executed an operation is 

executing. 



 

Process ID

The Process ID (PID) of the process that executed an operation. 



 

Thread ID

The Thread ID (TID) of the thread that executed an operation. 

 



 

Integrity Level

 The integrity level at which the process that executed an operation is running 

(Windows Vista only). 



 

Virtualized

 The virtualization status of the process that executed an operation (Windows 

Vista only). 

2

、過濾顯示內容

 

 

Filter->Filter(Ctrl+L),

這裏的過濾設置很靈活，看下圖便知

 

 

3

、高亮度顯示指定條件的內容

 

 

Filter->Highlight(Ctrl+H)

，條件的設置跟過濾同樣

 

4

、清屏和自動滾動

 

 

清屏

Edit->Clear Display(Ctrl+X) 

 

自動滾動保持最新的記錄在最下面滾動顯示

Edit->Auto Scroll(Ctrl+A) 

5

、其餘設置

 

其餘設置還包括，打開、保存、備份文件，導入、導出配置文件，保存和導入過濾設置文件，字體設置等基本

設置，不一一類舉，使用時一看便知。