- 综合排序
- 最热优先
- 最新优先
- 来自专栏民工哥技术之路
进程监控工具 Procmon有Linux版本了
Windows 上的 Procmon Process Monitor(以下简称 Procmon)是一种进程监控工具,为开发者提供了简便有效的方式来跟踪系统调用(syscall)活动。 现在,Linux 用户也可以尝试使用 Procmon 来监控系统进程。 Linux 上的 Procmon 在 Linux 上使用 Procmon 时,可以使用以下参数指定要监视的进程 ID 或特定的系统调用: Usage: procmon [OPTIONS] OPTIONS procmon -p 738,2657 若要监视 PID 738 列出的所有读写调用,可以使用以下命令: sudo procmon -p 738 -e read,write 目前,构建 Linux 版 Procmon 应用需要 Ubuntu 18.04 LTS 版本,内核要求 4.18 及以上,并且不高于 5.3 版本。
2.1K40发布于 2020-09-15 - 来自专栏Windows技术交流
vnc输入密码转圈转了很久才进入桌面,用procmon定位原因
对应程序是:C:\Windows\system32\svchost.exe -k netsvcs -p ②思路:等进入桌面后先配置上开机计划任务来调用procmon记录svchost.exe的行为,或者开个新管理员 ,禁用限制会话到单用户,这样就可以2个会话,vnc登入新的管理员,然后用默认Administrator去远程,以vnc上的管理员运行procmon来监测Administrator ③分析记录的数据发现卡点主要在于
1.8K40编辑于 2024-08-08 - 来自专栏Windows技术交流
对Windows开机恒慢的问题,用process monitor(procmon)比较方便定位
https://live.sysinternals.com/Procmon.exe https://live.sysinternals.com/Procmon64.exe 用process monitor
2.9K50编辑于 2024-08-08 - 来自专栏绿盟科技研究通讯
攻击溯源-手把手教你利用SPADE搭建终端溯源系统
图3 SPADE 运行问题日志 3.2 SPADE与ProcMon联调 SPADE reporter支持ProcMon,该模块是对接微软的ProcMon工具的。 打开ProcMon自动会采集相关数据,数据量非常大十多分钟就9个G的文档。当然该工具功能比较强大可以加一些过滤。 SPADE与ProcMon联动过程: 启动ProcMon采集相关数据(这里可以执行相关模拟攻击的操作) 关闭ProcMon 保存ProcMon的日志,这里只能手动保存,同时SPADE只支持XML格式。 在SPADE 控制器中配置ProMon reporter的路径: Add reporter ProcMon input=xxx(ProcMon日志的路径) 对ProcMon的支持并不是很友好,但是SPADE 其优势是可以继承多种终端采集工具,如ProcMon,camflow,以及audit等。其部署灵活,有强大的数据压缩机制能把海量的终端数据压缩到能接受的量级,但是中间的数据损失无法评估。
3K20编辑于 2023-02-22 - 来自专栏FreeBuf
Spartacus:一款功能强大的DLL劫持发现工具
功能介绍 1、在本地解析ProcMon PML文件,PMC配置和PML日志解析器通过将procmon-parser部分功能移植到C#来实现的; 2、Spartacus将为所有已识别的缺失DLL创建代理 (PMC)配置文件,过滤器设置如下:操作为CreateFile;路径以.dll结束;进程名称不能是procmon.exe或procmon64.exe;启用Drop Filtered Events以确保最小化的 \Procmon.exe --pml C:\Data\logs.pml --csv C:\Data\VulnerableDLLFiles.csv --exports C:\Data\DLLExports --verbose (向右滑动,查看更多) 仅收集与Teams.exe和OneDrive.exe相关的事件: --procmon C:\SysInternals\Procmon.exe --pml C C:\SysInternals\Procmon.exe --pml C:\Data\logs.pml --csv C:\Data\VulnerableDLLFiles.csv --exports C:
1.5K10编辑于 2023-08-03 这个神器让我找Bug如有神助!Process Monitor让Windows问题无处遁形
虽然强大,但也有一些需要注意的地方: 资源消耗 长时间运行Procmon会消耗不少系统资源,特别是内存。 权限要求 Procmon需要管理员权限才能正常工作,这在某些受限环境下可能是个问题。 结合Procmon的详细日志,能更全面地分析问题。 Event Viewer 系统事件日志,有时候Procmon发现的问题在事件日志里也有相关记录。 当然,Procmon也不是万能的,有些问题可能需要结合其他工具和方法。但作为第一步的排查工具,它绝对是首选。 学习建议 如果你想熟练掌握Procmon,我建议: 多实践 光看教程是不够的,要在实际环境中多用。可以故意制造一些问题,然后用Procmon来分析。
2.2K10编辑于 2025-09-29- 来自专栏Windows技术交流
低版本Windows系统在部分机型的云服务器上启动速度慢且概率性存在自动注销问题
"C:\tools\procmon_bootlog.bat"的快捷方式到 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\procmon_bootlog.lnk \Startup\stop_procmon_onlogon_sleep2mins.lnk" 4、创建开机计划任务:在自动登录后的2分钟时或在注销会话时停止日志收集。 /change /tn "\stop_procmon" /Disable 5、创建开机计划任务启动Windows Time服务(w32time)。 shortcut "c:\tools\stop_procmon_onlogon_sleep2mins.bat" "C:\ProgramData\Microsoft\Windows\Start Menu \Programs\Startup\" "stop_procmon_onlogon_sleep2mins" del c:\tools\nircmd.exe del c:\nircmd-x64.zip
58300编辑于 2024-06-05 - 来自专栏网络安全技术点滴分享
ProcDOT:恶意软件分析的可视化利器
www.winpcap.org/windump/) 2.下载安装Wireshark(下载地址:https://www.wireshark.org/download.html) 3.下载安装Process Monitor(procmon )(下载地址: https://learn.microsoft.com/en-us/sysinternals/downloads/procmon) 4.下载安装Graphviz(下载地址:https:/ 转到“编辑”>“选项”,并按以下方式填写路径: 如下所示 使用/示例 捕获恶意软件运行日志、网络流量 1.运行Process Monitor(procmon)实时记录恶意软件进程信息、带有集成符号支持的完整线程堆栈等日志 ,如下所示: 2.导出procmon中恶意软件运行记录的日志,请确保: (1)不包含"Sequence Number"列 (2)包含"Thread ID"列 (3)同时确保不解析网络地址"Show Resolved 恶意软件运行的日志、wireshark中恶意软件运行的网络流量数据包导出来 ProcDOT输入日志、网络流量数据包生成可视化图表 1.运行procdot,在Procmon选项中选择procmon导出的日志
20810编辑于 2025-11-13 - 来自专栏潇湘信安
使用ProcDot进行恶意软件分析
https://graphviz.org/download/ Process Monitor:https://learn.microsoft.com/en-us/sysinternals/downloads/procmon ProcDot的配置 使用真实恶意软件测试 恶意软件样本下载: https://www.malware-traffic-analysis.net/2022/08/10/index.html 设置ProcMon 启动恶意软件,同时密切关注后台程序procmon和wireshark。 以CSV格式保存procmon的日志文件。 选择ProcDot中的procmon日志文件,然后选择您要查看的恶意进程。选择受感染进程后,再选择之前在Wireshark保存的TXT pcap文件。
76430编辑于 2023-10-24 - 来自专栏Windows技术交流
提前内置一些排障工具到Windows系统大有好处
live.sysinternals.com/accesschk.exe http://live.sysinternals.com/accesschk64.exe http://live.sysinternals.com/Procmon.exe http://live.sysinternals.com/Procmon64.exe http://live.sysinternals.com/PsExec.exe http://live.sysinternals.com -Outfile r:\downloads\Procmon.exe wget http://live.sysinternals.com/Procmon64.exe -Outfile r:\downloads \Procmon64.exe wget http://live.sysinternals.com/PsExec.exe -Outfile r:\downloads\PsExec.exe wget http 用procmon 左侧选System进程或业务进程,选择后点“view → Lower Pane View → Dlls (Ctrl+D)”,在下方会显示.sys、.dll procexp查看Privileges
83061编辑于 2024-04-30 - 来自专栏HelloGitHub
GitHub 热点速览 Vol.30:那些提升效率的小工具们
GitHub 上散落着各式各样的小工具,比如本周特推的 Adobe 开源的 React 组件库 react-spectrum 就能帮助开发者提升用户体验,微软开源、专为 Linux 打造的 ProcMon-for-Linux 2.3 进程监控工具:ProcMon-for-Linux 本周 star 增长数:900+ New ProcMon-for-Linux 是微软开源的小工具,是 Windows Sysinternals 作为一种进程监控工具,ProcMon-for-Linux 提供了简便有效的方式来跟踪系统调用(syscall)活动。此外,该工具能够帮助诊断程序崩溃、资源占用率过高,甚至是潜在的恶意感染等问题。 GitHub 地址→https://github.com/microsoft/ProcMon-for-Linux ?
1K20发布于 2021-05-14 - 来自专栏全栈程序员必看
【工作笔记】PathFileExists 返回 FALSE
PathFileExists、GetFileAttributesEx等)时需要切token 2、在切token并成功的情况下,发现依然会偶尔返回FALSE,打印错误码,有拒绝访问和文件不存在两种情况 3、使用ProcMon 总结: ProcMon果然强大~ 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/158216.html原文链接:https://javaforall.cn
93640编辑于 2022-09-14 - 来自专栏sylan215 的软件测试技术学习
如何借助测试经验图谱完成三个月总结?
打个比方,学习了 procmon 工具的用法,然后在注册表测试项目中用到,通过工具监控具体的注册表操作,发现了 bug 「一个设置操作会重复操作注册表 run 项 3 次」,经过和开发一起定位,发现问题的原因是 「一个公共函数在几个功能函数中都进行了调用,导致了重复的操作」,其他还了解了 procmon 对于文件操作、进程操作的监控功能,输出了 「procmon 简易使用手册」文档,并在组内进行了分享。 procmon 工具这个例子中,我们可以归类到自动化能力,利用第三方工具、自己实现工具、利用系统以及自己实现自动化系统都可以归为这一类。 因为一个项目需要用到这个工具,进而了解了这个项目的其它功能,并且做了总结输出,那么就是在自动化能力---第三方工具---procmon工具这一项进行了经验积累,同时因为工具本身和系统知识结合度比较紧,那么在使用过程中势必会对系统知识有进一步的了解
48040发布于 2020-03-04 - 来自专栏罗西的思考
[记录点滴]授人以渔,从Tensorflow找不到dll扩展到如何排查问题
其简介是: Process Monitor (Procmon) is a Linux reimagining of the classic Procmon tool from the Sysinternals 3.2 用法举例 具体用法举例如下: 跟踪系统所有进程和系统调用 sudo procmon 跟踪进程号10和20的进程 sudo procmon -p 10,20 只跟踪进程号为20的进程的如下系统调用 : read, write and openat sudo procmon -p 20 -e read,write,openat 跟踪进程35,并且把所有事件输出到procmon.db sudo procmon -p 35 -c procmon.db 3.3 屏幕示例 具体屏幕示例如下: ? )发布Linux版,附使用方法 https://github.com/microsoft/ProcMon-for-Linux
2.7K20发布于 2020-09-21 - 来自专栏林德熙的博客
在 Windows 下那些好用的调试软件
Procmon Monitor 可以监听程序对所有文件、网络、注册表的访问,程序创建的线程。 可以用来调试软件找不到 dll 的文件,可以调试软件在启动过程访问的文件。 可以调试软件访问哪些注册表。 更多介绍请看Procmon Monitor简介,如何使用参见Sysinternals系列工具之Process Monitor用法 Process Monitor中文手册 - CSDN博客 下载:Process
1.7K30发布于 2018-09-19 - 来自专栏黑白天安全团队
DLL攻击漫谈
攻击利用过程 当我们确定某个进程按某个搜索顺序搜索DLL,并且缺少DLL 或者错误实现的DLL的进程之后,才能够进行下一步攻击 第一步:确定DLL 首先,我们从Sysinternals设置ProcMon ProcMon下载:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon 我们可以看到“ Bginfo64.exe”找不到的对应 docs.microsoft.com/en-us/sysinternals/downloads/procmonhttps://docs.microsoft.com/en-us/sysinternals/downloads/procmon
1.6K10发布于 2020-11-03 - 来自专栏信创系统开发
介绍几款 Windows 应用调试的小工具
Tools deepin-wine10-stable DependenciesGui.exe 在打开 dll 文件后,显示如下信息: Process Monitor Process Monitor(简称 ProcMon 访问如下微软 Sysinternals 官方网站 下载 Process Monitor 工具: https://learn.microsoft.com/en-us/sysinternals/downloads/procmon 解压后,直接运行 Procmon.exe 启动程序(无需安装)。 Procmon 同样分为32位版本和64位版本,根据我们要监控的应用是32位还是64位,选择对应的版本。
72210编辑于 2025-08-25 - 来自专栏网络信息安全
[知识小节]Process Monitor介绍
3、常见用法 下载Procmon.exe软件后,双击直接启动,Procmon会自动扫描分析系统当前程序的运行情况。其中,下图中四个常用按钮作用分别为:捕获开关、清屏、设置过滤条件、查找。 Start Menu\Programs\Startup Win XP:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 第一步,打开过滤器 打开软件Procmon 改写文件时触发 SetRenameInformationFile:重命名时触发 SetDispositionInformationFile:删除文件时触发 分析恶意样本,涉及知识点包括: 文件活动行为分析:Procmon 监控木马客户端的文件行为 注册表活动行为分析:Procmon监控木马客户端的注册表设置值行为 网络活动行为分析:Wireshark监控网络行为、TCP三次握手连接、被控端与控制端之间的通信过程 CloseFile
6K10编辑于 2024-03-12 - 来自专栏FreeBuf
ImpulsiveDLLHijack:一款基于C#实现的DLL劫持技术研究工具
是否已从劫持路径加载,从而确定目标DLL劫持路径是否100%可利用; 工具要求 exe: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon ImpulsiveDLLHijack 参考资料 https://arxiv.org/abs/2108.10422 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
2.2K10编辑于 2021-12-15 - 来自专栏Windows技术交流
腾讯云Window日常排障参考
确保云平台监控组件正常腾讯云可观测平台 安装云服务器监控组件_腾讯云如何修复云监控-腾讯云开发者社区-腾讯云 六、 如果问题能稳定复现,则可以借助微软Process Explorer(procexp)、Process Monitor(procmon 2333826举例2:通过Process Explorer排查内核中的异常驱动并最终锁定元凶https://cloud.tencent.com/developer/article/1957099举例3:procmon
39710编辑于 2025-03-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号