[系统安全] 三十五.Procmon工具基本用法及文件进程、注册表检察

楠木可依

您大要之前看到过我写的相似文章，为何借要反复撰写呢？只是念更好天协助初教者了解病毒顺背阐发战体系宁静，愈加成系统且没有破坏之前的系列。因而，我从头开设了那个专栏，筹办体系收拾整顿战深化进修体系宁静、顺背阐发战歹意代码检测，“体系宁静”系列文章会愈加散焦，愈加体系，愈加深化，也是做者的渐渐生长史。换专业的确挺易的，顺背阐发也是块硬骨头，但我也尝尝，看看本人将来四年究竟结果能将它教到甚么水平，漫冗长征路，倾向虎山止。享用历程，一同减油~
前文测验考试了硬件滥觞阐发，分离APT进犯中常睹的判定办法，操纵Python挪用扩大包停止溯源，但也存正在范围性。本文将分享Procmon硬件根本用法及文件过程、注册表检察，那是一款微硬举荐的体系监视东西，功用十分壮大可用去检测歹意硬件。根底性文章，期望对您有所协助~
做者做为收集宁静的小利剑，分享一些自教根底教程给各人，次要是正在线条记，期望您们喜好。同时，更期望您能取我一同操纵战前进，后绝将深化进修收集宁静战体系宁静常识并分享相干尝试。总之，期望该系列文章对专友有所协助，写文不容易，年夜神们没有喜勿喷，感谢！假如文章对您有协助，将是我创做的最年夜动力，面赞、批评、公聊都可，一同减油喔！

文章目次

• 一.Process Monitor
  
• 
  
  
  
  • 1.根本引见
    
  • 2.利用场景
    
  • 3.动静变乱
    
    
  
• 两.Procmon阐发可施行文件
  
• 
  
  
  
  • 1.常睹用法
    
  • 2.真例阐发
    
    
  
• 三.Promon阐发紧缩包
  
• 四.总结
  

做者的github资本：

• 顺背阐发：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
  
• 收集宁静：https://github.com/eastmountyxz/NetworkSecuritySelf-study
  

  从2019年7月开端，我去到了一个生疏的专业——收集空间宁静。初进宁静范畴，长短常疾苦战难熬痛苦的，要教的工具太多、触及里太广，但幸亏本人经由过程分享100篇“收集宁静自教”系列文章，艰难前止着。戴德那一年了解、相知、相趣的宁静年夜佬战伴侣们，假如写得不好或不敷的地方，借请各人包涵！

接下去我将开启新的宁静系列，叫“体系宁静”，也是免费的100篇文章，做者将愈加深化的来研讨歹意样本分析、顺背阐发、内乱网排泄、收集攻防真战等，也将经由过程正在线条记战理论操纵的情势分享取专友们进修，期望能取您一同前进，减油~
  

• 举荐前文：收集宁静自教篇系列-100篇
  

前文阐发：

• [体系宁静] 一.甚么是顺背阐发、顺背阐发根底及典范扫雷游戏顺背
  
• [体系宁静] 两.怎样教好顺背阐发及吕布传游戏顺背案例
  
• [体系宁静] 三.IDA Pro反汇编东西初识及顺背工程解稀真战
  
• [体系宁静] 四.OllyDbg静态阐发东西根底用法及Crakeme顺背
  
• [体系宁静] 五.OllyDbg战Cheat Engine东西顺背阐发动物年夜战僵尸游戏
  
• [体系宁静] 六.顺背阐发之前提语句战轮回语句源码复原及流程掌握
  
• [体系宁静] 七.顺背阐发之PE病毒道理、C++完成文件减解稀及OllyDbg顺背
  
• [体系宁静] 八.Windows破绽操纵之CVE-2019-0708复现及蓝屏进犯
  
• [体系宁静] 九.Windows破绽操纵之MS08-067长途代码施行破绽复现及深度提权
  
• [体系宁静] 十.Windows破绽操纵之SMBv3效劳长途代码施行破绽（CVE-2020-0796）复现
  
• [体系宁静] 十一.那些年的熊猫烧喷鼻及PE病毒举动机理阐发
  
• [体系宁静] 十两.熊猫烧喷鼻病毒IDA战OD顺背阐发（上）病毒初初化
  
• [体系宁静] 十三.熊猫烧喷鼻病毒IDA战OD顺背阐发（中）病毒开释机理
  
• [体系宁静] 十四.熊猫烧喷鼻病毒IDA战OD顺背阐发–病毒开释历程（下）
  
• [体系宁静] 十五.Chrome阅读器保存暗码功用排泄剖析、蓝屏破绽及某音乐硬件破绽复现
  
• [体系宁静] 十六.PE文件顺背根底常识(PE剖析、PE编纂东西战PE修正)
  
• [体系宁静] 十七.Windows PE病毒观点、分类及传染方法详解
  
• [体系宁静] 十八.病毒攻防机理及WinRAR歹意劫持破绽(剧本病毒、自启动、按时闭机、蓝屏进犯)
  
• [体系宁静] 十九.宏病毒之进门根底、防备步伐、自觉邮件及APT28宏样本分析
  
• [体系宁静] 两十.PE数字签名之(上)甚么是数字签名及Signtool签名东西详解
  
• [体系宁静] 两十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View东西用法
  
• [体系宁静] 两十两.PE数字签名之(下)微硬证书破绽CVE-2020-0601复现及Windows考证机造阐发
  
• [体系宁静] 两十三.顺背阐发之OllyDbg静态调试温习及TraceMe案例阐发
  
• [体系宁静] 两十四.顺背阐发之OllyDbg调试INT3断面、反调试、硬件断面取内乱存断面
  
• [体系宁静] 两十五.WannaCry勒索病毒阐发 (1)Python复现永久之蓝破绽完成勒索减稀
  
• [体系宁静] 两十六.WannaCry勒索病毒阐发 (2)MS17-010破绽操纵及病毒剖析
  
• [体系宁静] 两十七.WannaCry勒索病毒阐发 (3)蠕虫传布机造剖析及IDA战OD顺背
  
• [体系宁静] 两十八.WannaCry勒索病毒阐发 (4)齐网"最"具体的蠕虫传布机造解读
  
• [体系宁静] 两十九.深服气分享以外部要挟防护战勒索病毒对立
  
• [体系宁静] 三十.CS顺背阐发 (1)您的游伶人弹用完了吗？Cheat Engine东西进门广泛
  
• [体系宁静] 三十一.歹意代码检测(1)歹意代码进犯溯源及歹意样本分析
  
• [体系宁静] 三十两.歹意代码检测(2)经常使用手艺详解及总结
  
• [体系宁静] 三十三.歹意代码检测(3)基于机械进修的歹意代码检测手艺
  
• [体系宁静] 三十四.歹意代码检测(4)编写代码主动提与IAT表、字符串实时间戳溯源地域
  
• [体系宁静] 三十五.Procmon东西根本用法及文件过程、注册表检察
  

  声明：自己坚定阻挡操纵讲授办法停止立功的举动，统统立功举动势必遭到重办，绿色收集需求我们配合保护，更举荐各人了解它们背后的道理，更好天停止防护。

---

一.Process Monitor

1.根本引见

Process Monitor是微硬举荐的一款体系监视东西，可以实时显现文件体系、注册表（读写）、收集毗连取过程举动的初级东西。它整开了旧的Sysinternals东西、Filemon取Regmon，其中Filemon特地用去监视体系中的任何文件操纵历程，Regmon用去监视注册表的读写操纵历程。

• Filemon：文件监视器
  
• Regmon：注册表监视器
  

同时，Process Monitor增长了过程ID、用户、过程牢靠度等监视项，能够记载到文件中。它的壮大功用足以使Process Monitor成为您体系中的中心组件和病毒探测东西。

Process Monitor能够协助利用者对体系中的任何文件、注册表操纵停止监视战记载，经由过程注册表战文件读写的变革，有用协助诊断体系毛病或发明歹意硬件、病毒及木马。
Github下载地点：https://github.com/eastmountyxz/Security-Software-Based
CSDN下载链接：https://download.csdn.net/download/lxiao428/10711509

2.利用场景

运转Process Monitor倡议利用办理员形式，当您启动Process Monitor后，它便开端监听三类操纵，包含：文件体系、注册表、过程。

• 文件体系
  Process Monitor显现一切的Windows文件体系举动，包含当地磁盘战长途文件体系。它会主动探测到新的文件体系配备并监听它们。一切的体系途径城市被显现为相对正在用户会话中的一个文件体系操纵的施行。念正在列表中肃清文件体系的操纵，正在Process Monitor东西栏上反选“文件体系”按钮，再按下能够增长对文件体系的监听。
  
• 注册表
  Process Monitor记载一切的注册表操纵并显现利用常睹的注册表根键缩写去显现注册表途径（如HEKY_LOCAL_MACHINE 缩写为HKLM）。念正在列表中肃清注册表的操纵，正在Process Monitor东西栏上反选“注册表”按钮，再次按下能够增长对注册表的监听。
  
• 过程
  正在Process Monitor的过程/线程监听子体系中，它将跟踪一切过程/线程的创立战退出操纵，包含DLL战配备驱动法式的减载操纵。念正在列表中肃清过程的操纵，正在Process Monitor东西栏上反选“过程”按钮，再次按下能够增长对过程的监听。
  
• 收集
  Process Monitor利用“Windows变乱跟踪(ETW)”去跟踪并记载TCP战UDP举动。每一个收集操纵包含源地点战目的地点，另有收收战担任到的一些数目的数据，但没有包含实在的数据。念正在列表中肃清收集的操纵，正在Process Monitor东西栏上反选“收集”按钮，再次按下能够增长对收集的监听。
  
• 机能阐发
  那个变乱类能够正在“选项”菜单中启用。当处于“启用”形态，Process Monitor扫描体系中一切举动的线程并为每一个线程天生一本性能阐发变乱，记载了内乱核形式战用户形式的CPU工夫耗损，另有很多正在上本性能阐发变乱后已被线程施行的情况开闭。
  

3.动静变乱

闭于Procmon硬件的传闻：已经360隐公保护器曝出腾讯“窥公门”变乱。昔时的QQ谈天东西正在黑暗鳞集扫描电脑硬盘、窥视用户的隐公文件，另两款谈天东西MSN战阿里旺旺则出有相似举动。随即有网友曝料称，早有人经由过程微硬Procmon（过程监视东西）发明QQ窥公的秘密。

据悉，微硬那款Windows体系过程监视东西Procmon，经由过程对体系中的任何文件战注册表操纵停止监视战记载，也能协助用户判定硬件能否存正在“越轨”举动。取360隐公保护器比拟，Procmon接纳了相似的道理，可是监测工具更普遍，合适具有必然电脑常识的用户利用。
Procmon监测记载表白，当时的QQ会主动会见很多取谈天无闭的法式战文档，比方“我的文档”等敏感地位，上彀记载等。随后，QQ借会发生大批收集通信，很大要是将数据上传到腾讯效劳器。短短10分钟内乱，它会见的无闭文件战收集通信数目多达远万项！一般的谈天东西举动是只会见本身文件战须要的体系文件。

---

两.Procmon阐发可施行文件

1.常睹用法

下载Procmon.exe硬件后，间接单击启动，Procmon会主动扫描阐发体系当出息序的运转状况。其中，下图框出去的4个经常使用按钮感化别离为：捕捉开闭、浑屏、设置过滤前提、查找。最初5个并排的按钮，是用去设置捕捉哪些范例的变乱，别离暗示注册表的读写、文件的读写、收集的毗连、过程战线程的挪用战设置变乱。普通挑选前里2个，别离为注册表战文件操纵。

输出结果中包含序号、工夫面、过程称号、PID、操纵、途径、结果、描摹等，监控项凡是包含：

• 文件体系
  
• 注册表
  
• 过程：跟踪一切过程战线程的创立战退出操纵
  
• 阐发变乱：扫描体系中一切举动线程，为每一个线程创立一个阐发变乱，记载它消耗的中心战用户CPU工夫，和该线程自前次阐发变乱以去施行了几次高低文转换
  

为了更好天定造挑选，能够正在过滤器中停止设置（睹上图），也能够正在Options菜单当选择Select Columns选项，然后经由过程弹出的列挑选对话框去定造列的显现。经常使用列的挑选包含：

• Application Details
  – Process Name：发生变乱的那个过程的名字
  – Image Path：过程镜像的完好途径
  – Command Line：号令止，用于启动过程
  – Company Name：过程镜像文件中的企业称号。那个文本是由使用法式的开辟者去定义的
  – Description：过程镜像文件中的产物描摹疑息。那个文本是由使用法式的开辟者定义的
  – Version：过程镜像文件中的产物版本号。那个文本是由使用法式的开辟者定义的
  
• Event Details
  – Sequence Number：操纵正在部分变乱中的相对地位，也包含当前的过滤
  – Event Class：变乱的类别（文件，注册表，过程）
  – Operation：特别变乱操纵，好比Read、RegQueryValue等
  – Date & Time：操纵的日期战工夫
  – Time of Day：只是操纵的工夫
  – Path：一个变乱援用资本的途径
  – Detail：变乱的附减疑息
  – Result：一个完成了的操纵的形态码
  – Relative Time：一个操纵相对Process Monitor的启动后的工夫，大概相对Process Monitor的疑息肃清后的工夫
  – Duration：一个曾经完成了的操纵所连续的工夫
  
• Process Management
  – User Name：正正在施行操纵的过程的用户账户名
  – Session ID：正正在施行操纵的过程的Windows会话ID
  – Authentication ID：正正在施行操纵的过程的登录会话ID
  – Process ID：施行了操纵的过程的过程ID
  – Thread ID：施行了操纵的线程的线程ID
  – Integrity Level：正正在运转的过程施行操纵时的可托级别（仅撑持Vista以上体系）
  – Virtualized：施行了操纵的过程的假造化形态
  

---

2.真例阐发

上面我们接纳阐发开机自启动的某个“hi.exe”法式。留意，做者之前第36篇文章CVE破绽复现文章中，将“hi.exe”歹意减载至自启动目次，那里阐发它。

  C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

第一步，设置过滤器。
翻开硬件Process Moniter，并面击filter->filter。

正在弹出的对话框中Architecture下推框，挑选Process Name挖写要阐发的使用法式名字，面击Add增加，最初面击左下角的Apply。

第两步，施行被阐发的使用。
单击使用法式会弹出“计较器”。

能够看到Process Mointor监控到使用的举动。

第三步，检察可施行文件的地位。
面击查找按钮，然后输进“CreateFile”。

找到该选项以后，我们左键面击“Jump To”。

我们能够来到该文件所在的文件夹下，即：

  Win 7/10：C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Win XP：C:\Documents and Settings\Administrator\「开端」菜单\法式\启动

第四步，检察注册表选项。
查觅文件“RegSetValue”。

左键挑选jump to跳转到注册表。

能够看到注册表的内乱容，假如自启动借能看到相干键对的设置。

Windows主动重启运转的法式能够注册鄙人列任一注册表的地位。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  

---

三.Promon阐发紧缩包

接着我们阐发该紧缩包。

第一步，过滤器设置。
翻开硬件Process Moniter，并面击filter->filter。正在弹出的对话框中Architecture下推框，挑选Process Name挖写要阐发的使用法式名字，面击Add增加、Apply使用。留意，也能够增长其他过滤划定规矩。

第两步，翻开紧缩包及某个文件。
已翻开紧缩包前运转结果以下图所示：

翻开该紧缩包中的“2020-02-22-china.csv”文件，那是做者Python年夜数据阐发武汉疫情的开源代码，也举荐感爱好的读者浏览。

Procmon显现了取WinRAR相干的操纵，以下图所示。我们能够检察运转的过程、注册表等疑息。

第三步，查询“china.csv”相干的文件。

能够看光临时文件，其途径为：

  C:\Users\xxxx\AppData\Local\Temp\Rar$DIa14092.24700

第四步，左键面击“Jump To”跳转检察文件。

跟踪那个目次，正在C盘对应目次下找到了那个文件，翻开以后战本来翻开的文件内乱容不异。

  AppData\Local\Temp
它是电脑Windows体系暂时存储的文件夹，会把阅读者阅读过的网站大概此外记载保留正在那里。假如下次翻开响应的地点，电脑会更快提与文件，以至正在出有收集时也能检察到。那是没有宁静的，您失密的文件文件也大要存正在该地位，倡议实时删除。

第五步，WinRAR紧缩包内乱文件间接翻开后，有两种封闭方法：先封闭翻开的文件，再封闭翻开的紧缩包。别的一种方法是先封闭翻开的紧缩包，再封闭翻开的文件。倡议各人操纵Process Moniter阐发上述两种方法的不同面。
翻开紧缩包时减载的文件个数以下图所示。

先封闭word文件，再封闭winrar。留意，封闭word文件后，Process Monitor监测到了变乱；再封闭winrar，Process Monitor也监测到了变乱。

那仅是一篇根底性用法文章，更多真例做者期望深化进修后分享出去。好比监控某个目次下文件的创立、修正、删除、会见操纵，从而保留日志为文件，以便往后阐发。

• WriteFile：写操纵，按照文件巨细大要发生多条
  
• ReadFile：读操纵，一次读会发生许多条
  
• SetAllocationInformationFile：改写文件时触收
  
• SetEndOfFileInformationFile：改写文件时触收
  
• SetRenameInformationFile：重命名时触收
  
• SetDispositionInformationFile：删除文件时触收
  

---

四.总结

写到那里，那篇文章便引见终了，次要包含三部门内乱容：

• Procmon硬件引见
  
• Procmon阐发可施行文件
  
• Procmon阐发紧缩包文件减载项，包含过程战注册表
  

接下去，做者将接纳该东西正在假造机平分析歹意样本，触及常识面包含：

• 文件举动举动阐发：Procmon监控木马客户真个文件举动
  
• 注册表举动举动阐发：Procmon监控木马客户真个注册表设置值举动
  
• 收集举动举动阐发：Wireshark监控收集举动、TCP三次握脚毗连、被控端取掌握端之间的通讯历程
  

期望那系列文章对您有所协助，实的觉得本人手艺佳肴，要教的常识很多多少。那是第49篇本创的宁静系列文章，从收集宁静到体系宁静，从木马病毒到后门劫持，从歹意代码到溯源阐发，从排泄东西到两进造东西，另有Python宁静、顶会论文、乌客角逐战破绽分享。已知攻焉知防，人死漫漫其路近兮，做为初教者，本人实是爬着前止，感激许多人的协助，持续爬着，持续减油！
欢送各人会商，能否以为那系列文章协助到您！假如存正在不敷的地方，借请包涵。任何倡议皆能够批评见告读者，共勉~
武汉减油！湖北减油！中国减油！！！
(By:Eastmount 2021-02-26 早晨12面写于贵阳 http://blog.csdn.net/eastmount )

---

参考文献：
[1] 《硬件宁静》尝试之歹意样本举动阐发
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] Process Monitor阐发某个使用举动 - cui0x01
[4] https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
[5] https://wenku.百度.com/view/aaf324150b4e767f5acfcec4.html
[6] Process Monitor中文脚册 - D_R_L_T
[7] ProcessMonitor文件和注册表监视器的利用 - Amrecs
[8] Process Monitor监控目次 - 监控文件被哪一个过程操纵了 - kendyhj9999

免责声明：假如进犯了您的权益，请联络站少，我们会实时删除侵权内乱容，感谢协作！