Identifica cauza anomaliilor din calculatorul tau. Monitorizeaza tot ce se intampla, ce aplicatie este deschisa si ce actiuni face.

Configurare noua (How To)

Situatie

Process Monitor este un software de monitorizare avansat pentru Windows care afiseaza activitatea sistemului de operare, a proceselor si a registriilor in timp real. Acest utilitar include alte doua utilitare: Filemon și Regmon cu ajutorul carora puteti filtra evenimente complete ale sistemului de operare. Process Monitor ofera utilizatorilor un instrument complet pentru depanare sistem si va poate ajuta la identificarea proceselor suspecte (activitati malware).

Solutie

Pasi de urmat

Process Monitor poate fi descarcat de pe website-ul technet.microsoft.com. Rulati aplicatia cu drepturi administrative (run as administrator).

Pentru a usura cautarea unui eveniment puteti aplica filtre pentru categorie, companie, descriere, pid, nume proces, versiune, utilizator, sesiune, cale, etc. Accesati meniul Filter -> Filter… sau Ctrl + L (de la tastatura).

filter-svchost

Mai jos am aplicat filtru pentru inregistrarile de tip “Process Name” = svchost -> Add -> Apply.

filter-svchost-add

Pentru a incepe procesul de monitorizare este necesar sa accesati meniul File -> Capture Events sau Ctrl + E (de la tastatura).

capture-events-process-monitor

In functie de tipul de inregistrare dorit puteti afisa activitatea transmisa de registrii, de sistem, de retea sau procese. Exemplu pentru optiunea “Show Network Activity“:

 

network-activity-svchost

 

Sa presupunem ca ne intereseaza procesele pentru svchost.exe . Scanam si analizam evenimentele in functie de PID (process id). In exemplul atasat ma intereseaza detaliile despre pid = 776.

process-monitor-app

Pentru detalii suplimentare selectam inregistrarea, apoi click dreapta -> Properties. Informatiile de interes sunt afisate in sectiunea Process si Stack. Precum observati procesul wmiprvse.exe, pid = 776 este creat de svchost.exe, apartine sistemului de operare si este stocat in calea C:Windowssystem32.

event-properties

Din meniul Tools -> Process Tree… sau Ctrl + T (de la tastatura) puteti afisa toata structura de procese. In acest mod puteti urmari cu usurinta orice proces.

tools-process-tree

Exemplu:

show-process-tree

Salvarea evenimentelor

Puteti salva in format csv evenimentele inregistrate de Process Monitor. Pentru acest lucru accesati meniul File -> Save… sau Ctrl + S (de la tastatura) -> ok.

save-events-process-monitor

Tip solutie

Workaround

Voteaza

(36 din 62 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?