当前位置：首页 > web >正文

Process Monitor学习

web 2025/7/28 17:21:22

Process Monitor学习记录

- - **1. 引言（00:00 - 00:22）**
  - **2. Process Monitor 的功能简介（00:30 - 01:00）**
  - **3. 简单使用说明（01:00 - 01:18）**
  - **4. 监控进程层级（01:51 - 02:18）**
  - **5. 实际操作演示：开启监控（02:31 - 04:13）**
  - **6. 停止监控并导出数据（04:13 - 05:09）**
  - **7. 实际例子：安装 PDF 阅读器（05:09 - 08:06）**
  - **8. 深入分析：探测可疑行为（08:06 - 12:43）**
  - **9. 导出监控数据（12:43 - 13:18）**
  - **10. 进程数分析（13:22 - 14:21）**
  - **11. 总结（15:18）**

1. 引言（00:00 - 00:22）

Frank在视频开头提到了一位微软内部专家的名言：“如果你掌握了 Process Monitor 和 Process Explorer 这两个工具的话，可以说打遍天下无敌手。”他虽然不确定这句话是否完全正确，但认为 Process Monitor 这个工具确实非常强大，值得深入学习。今天的目标就是教大家如何使用这个工具。

2. Process Monitor 的功能简介（00:30 - 01:00）

Process Monitor 是一个用来监控 Windows 系统进程行为的工具。它能够记录并显示：

进程对 注册表 的操作（创建、修改等）
对文件的操作（文件的读写、关闭等）
网络连接 行为
可以看到几乎所有的进程和系统的活动。

这个工具是微软提供的 免费工具，无需安装，下载后就可以直接运行。最初由 C4Intel 公司开发，后来被微软收购并继续提供支持。

3. 简单使用说明（01:00 - 01:18）

Process Monitor 不需要安装，下载后直接运行。打开后，它会开始实时记录 Windows 系统所有进程的行为。由于监控的数据量庞大，Frank 强烈建议使用 过滤器，通过过滤器来选择需要监控的数据，否则会得到过多的无关信息。

过滤器（Filter Tool）：通过设置过滤器，可以筛选出你感兴趣的监控信息，比如只看某个进程、某个特定文件或某种类型的事件。

4. 监控进程层级（01:51 - 02:18）

与 Process Explorer 或 Windows 任务管理器 不同，Process Monitor 还可以显示进程之间的层级关系。这意味着你可以看到某个进程启动了其他进程并监控它们的行为，提供更深入的分析能力。

此外，监控的结果可以导出为 PML 文件，方便后续的详细分析。

5. 实际操作演示：开启监控（02:31 - 04:13）

Frank 打开了 Process Monitor 进行演示，首先展示了监控界面。点击 监控按钮 开始记录后，几秒钟内系统开始积累大量的事件记录。例如，操作 explorer（Windows 文件管理器）或者 taskhost（一个后台进程）时，都会被记录下来。此时可以看到超过 4万条记录。

监控事件：包括进程启动、文件操作、注册表读取等
重要提示：监控过程中信息非常庞大，需要通过 过滤器 来减少干扰，专注于特定行为。

6. 停止监控并导出数据（04:13 - 05:09）

一旦停止监控，工具会显示从开始到停止期间的所有记录。然后，用户可以将这些数据导出为 PML 文件，进行更细致的分析。这些文件通常非常大，可能达到几百MB或几个GB，取决于监控的时长和事件的复杂性。
在这里插入图片描述

7. 实际例子：安装 PDF 阅读器（05:09 - 08:06）

Frank 演示了如何使用 Process Monitor 来监控 中华PDF 阅读器的安装过程。他打开了 PDF 阅读器的安装包，开始安装，并实时监控进程的行为：

在安装过程中，Process Monitor 记录了文件的写入、注册表的访问等行为。
使用 过滤器 查找与安装包相关的行为，比如 Path 字段包含“中华”两个字。
通过过滤器，他能够看到 进程执行 和 文件操作，例如将文件写入 Program Files 文件夹。

通过这些操作，可以清晰地看到安装过程中系统的所有文件读写、注册表修改等行为。
在这里插入图片描述

8. 深入分析：探测可疑行为（08:06 - 12:43）

Frank 继续演示了如何深入分析某个进程的行为，重点关注以下几个方面：

写文件行为：看到安装包创建了很多文件，且大多数文件写入了默认的安装目录。通过过滤器选择 write file 行为，能够精确查找到进程执行了哪些文件写操作。
注册表行为：Process Monitor 还能够记录到该进程对 注册表 的操作，帮助分析它修改了哪些系统配置。
网络行为：虽然在本次示例中未能看到明显的网络行为，Frank 提到，如果是带有在线功能的软件（比如一些PDF阅读器），通常会有网络连接，且有可能会进行在线更新或广告推送等活动。

如果怀疑安装包中包含恶意软件或后门，网络监控功能可以帮助检测它是否连接到可疑的服务器，进行恶意数据传输。
在这里插入图片描述

9. 导出监控数据（12:43 - 13:18）

安装完软件后，Frank 演示了如何将监控的数据保存为文件：

保存时可以选择是否保存所有事件，或者仅保存筛选后的特定事件。
由于监控数据庞大，保存时文件的大小可能非常大，比如 178MB。

10. 进程数分析（13:22 - 14:21）

通过 Process Monitor，Frank 还展示了如何查看进程的 层级关系。例如，安装了 中华PDF 后，实际上会启动多个与它相关的子进程，如 yssh.exe。这些进程可能是该软件的后台服务或者其他插件。

此外，系统可能会显示多个进程，这对于分析是否有隐藏的恶意进程很有帮助。

11. 总结（15:18）

Process Monitor 可以监控 Windows 系统中的所有进程及事件，它非常全面，可以帮助用户深入分析系统中的每个细节。
它在实际工作中，常用于监控 规律性的可疑行为。如果行为不规律，很难监控，因为你无法知道它何时发生。此时可以使用 Sysmon（另一个微软的监控工具），它用于记录长时间的系统行为日志。

Process Monitor 特别适合用于分析进程行为，查找是否有恶意软件、是否有未授权的文件修改、是否有异常的网络活动等。

原视频链接
https://www.bilibili.com/video/BV1sP411M7nJ?t=75.8

查看全文

http://www.xdnf.cn/news/16581.html