Process Monitor (ProcessMon) là công cụ giám sát và theo dõi giành cho hệ điều hành Windows bằng cách ghi lại các hành động liên quan tới file hệ thống, registry, process/thread trong thời gian thực. Đây là công cụ rất hữu ích hỗ trợ quá trình phát hiện Malware, phần mềm độc hại hoặc muốn theo dõi hành vi của bất kỳ một chương trình nào đang tác động tới hệ thống. ProcessMon cung cấp các cơ chế lọc cho phép tập trung vào việc theo dõi các đối tượng cụ thể theo nhiều tiêu chí khác nhau: Tên chương trình, Process ID …
ProcessMon có tính năng giám sát và khả năng lọc rất mạnh mẽ:
- Khả năng bắt thông tin qua các tham số vào/ra
- Quá trình lọc (filter) không làm mất dữ liệu
- Bắt các thông tin của stack trong các luồng cho từng hành động, do đó dễ dàng phát hiện ra gốc của hành động
- Đưa ra các thông tin tin cậy về chi tiết sản phẩm: đường dẫn, command line, người dùng, session ID
- Khả năng cấu hình các cột linh hoạt
- Khả năng filter được thiết lập tới tất cả các trường dữ liệu
- Khả năng ghi log và capture dữ liệu rất lớn: khoảng 10 triệu sự kiện được capture với khoảng 10 triệu GB dữ liệu
- Process Tree chỉ ra mối quan hệ giữa các tiến trình liên quan trong cùng một nhánh
- Dễ dàng xem thông tin về process thông qua tool tip
- Ghi log các thao tác, hành động thời gian boot
ProcessMon có thể download từ: Process Monitor. Sau khi download về và giải nén, chúng ta thu được thư mục với các file như hình bên dưới. Để chạy ProcessMon, click file: Processmon.exe
Trong nội dung này sẽ trình bày một số vấn đề chính sau đây:
- Tổng quan về tính năng giám sát của ProcessMon
- Tính năng Filter trong ProcessMon
- Khả năng Hightlight, Lưu thông tin ra file
Trong bài tới tôi sẽ giới thiệu với các bạn về các chức năng của ProcessMon và việc sử dụng ProcessMon trong việc kiểm tra an toàn máy tính, điều tra thông tin, phân tích hành virus…