计算机网络安全技术：使用Process Monitor监控进程活动.pdf

使用ProcessMonitor监控进程活动 Process Monitor 能够对系统事件进行详细的监控，包括： 进程，注册表，文件操作，网络活动。 系统事件非常多，总结恶意软件的特点，针对其特点进行针对 性的监控： 生成一些程序文件，并激活成为进程，想每次开机都能自动运 行，需要修改注册表。 使用ProcessMonitor监控进程活动 因此，重点关注以下事件： 壹 进程创建 贰 文件创建 （修改） 叁 注册表修改 （设置） 肆 网络活动 （向互联网发数据） 使用ProcessMonitor监控进程活动 实验环境：windows 2003,Process-Monitor 版本说明：Process-Monitor 历史悠久，有众多的版本。但有一段时期promon 没有提供32位版本。实 验中测试，以下版本在Windows 2003 平台可用有： Process Monitor3.20 或更低版本使用， 版本V3.50,V3.53 ，V3.61 （2021 年1月11发行）仍然支持windows 2003 。 但新版本V3.84 （2021 年8 月18发行）的32位程序在window 计算机网络安全技术中，Process Monitor是一款强大的系统监控工具，它可以详细记录系统中的进程、注册表、文件操作以及网络活动，帮助安全专家识别潜在的恶意软件行为。通过对这些关键事件的监控，我们可以有效地防御和分析可能的攻击。 Process Monitor的核心功能在于其对系统事件的深入监控。恶意软件常常会生成程序文件并将其设为启动项，以便在每次系统启动时自动运行。为了发现这种行为，我们需要特别关注以下四类事件： 1. **进程创建**：当新的进程被创建时，Process Monitor会记录下相关信息，这有助于追踪潜在的恶意进程。 2. **文件创建（修改）**：恶意软件可能会创建新的文件或修改现有文件以进行感染或隐藏自身。监控这个事件可以帮助我们及时发现异常的文件活动。 3. **注册表修改（设置）**：注册表是Windows系统存储配置信息的地方，恶意软件往往会通过修改注册表来实现自启动或者改变系统设置。因此，监控注册表的变化至关重要。 4. **网络活动**：如果恶意软件试图连接到互联网发送数据，Process Monitor可以记录下这些网络通信，揭示潜在的恶意网络行为。 实验环境是Windows 2003，需要注意的是，Process Monitor有不同的版本，其中V3.20及更低版本，以及V3.50、V3.53、V3.61在该平台上运行良好。然而，新版本如V3.84的32位程序可能不兼容Windows 2003。 通过使用Process Monitor，我们可以进行软件行为分析，了解其基本操作，如设置过滤条件来聚焦特定的事件。例如，可以设定过滤条件为特定的进程名、PID或路径，使用操作如"CreateFile"和"RegSetValue"来观察文件创建和注册表修改。 实验案例中，我们可以通过分析任务栏锁定、记事本保存文件以及远程桌面服务的开启/关闭来实际应用Process Monitor。例如，锁定任务栏后，通过监控注册表和文件修改操作，可以找出相关配置的更改；在记事本保存文件的过程中，观察CreateFile和WriteFile等API调用来理解文件操作的详细过程；对于远程桌面服务的开启/关闭，可以查看与rundll32.exe相关的注册表设置，分析RegSetValue操作，以理解服务配置与注册表之间的关联。 通过这些实践，我们可以深入了解Process Monitor的使用方法，提升对系统行为的理解，从而提高网络安全防护能力。在实际操作中，结合对Windows API的了解，可以更准确地解析和解读Process Monitor记录的事件，从而有效应对各种安全威胁。