ProcessMonitor

УтилитаProcessMonitor выполняет перехват контролируемых монитором системных функций и сбор данных подлежащих мониторингу. Наблюдение выполняется для следующих классов операций:

· обращения к файловой системе (filesystem),

· обращение к реестру (Registry),

· работа с сетью (Network),

· активность процессов (Process).

При первом запуске на экран будет выдано лицензионное соглашение, требующее подтверждения пользователя. Затем, после старта программыProcessMonitor, выводится окно с фильтрами для исключения из процесса наблюдения событий стандартной активности системы и самого монитора.

Интерфейс программы состоит из 3-х частей – строка меню (menubar), панель инструментов(toolbar)(рис.7) и область вывода данных в виде списка.

Рис.7. Панель инструментов программыProcessMonitor

Программа перехватывает отслеживаемые события, связанные с активностью процессов и выдает данные в соответствии с заданными критериями фильтрации и пользовательскими настройками отображаемых колонок. Для остановки мониторинга нужно щелкнуть мышкой по кнопке с лупой на панели инструментов, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата:

- Вкл\Выкл запись событий, Автоскроллинг, очистить экран. Если значок лупы перечеркнут - мониторинг активности процессов остановлен.

Автоскроллинг– это режим автоматической прокрутки экрана данных. При включении, в окне данных будут отображаться последние по времени выполнения операции. Если значок перечеркнут - прокрутка не будет выполняться.

Другие пиктограммы панели задач:

Открыть\ Сохранить текущие данные мониторинга в файл. Имеется возможность сохранить все события (AllEvents), события, отфильтрованные текущими фильтрами (Eventsdisplayedusingcurrentfilter) или события выделенные подсветкой (Highlightedevents). Можно также использовать комбинацию клавиш [Ctrl+S].

Настройка фильтра отображения, Подсветка строк, Поиск процесса среди окон на экране.

Задать условия фильтрации можно сразу после старта утилиты ProcessMonitor (рис.8) или в любой момент времени с использованием меню программы, комбинации клавиш [CTRL+L] контекстного меню, вызываемого правой кнопкой мышки.

Рис.8. Окно настройки фильтров

Запись правила фильтрации состоит из 4-х колонок(рис.8): Column– колонка (содержимое поля описания события) записи события. Можно выбрать одно из возможных полей отображаемого в окне данных программы события. Relation - логическое выражение:

Is - равно, принимает значение;

Isnot - не равно;

Lessthen - меньше чем;

Morethen - больше чем;

Beginwith - начинается с;

Endswith - заканчивается на;

Contains - содержит;

Excludes - не содержит;

Value - значение. Зависит от свойств выбранного поля в первой колонке (Columns)

Action- действие:

Exclude - исключить событие, соответствующее условиям данного фильтра;

Include - включить событие, соответствующее условиям данного фильтра.

Для сброса фильтра используется комбинация клавиш [CTRL+R].

Отобразить дерево процессов (как в ProcessExplorer), Поиск на странице, Перейти к объекту (файлу, ключу реестра).

При отображении дерева процессов(рис.9) для каждого из них выводится информация с именем, описанием, путем исполняемого файла, владельцем, командной строкой запуска и временем старта. При установке указателя мыши на строку конкретного процесса, в нижней части окна будет выведена подробная информация о нем.

Рис.9. Дерево процессов

Информация отображается в виде иерархической структуры(рис.9), отображающей зависимости между родительскими и порожденными процессами. Процессы, имеющие одного и того же родителя, отображаются в порядке, соответствующем времени запуска. Так, например, процесс winlogon.exec идентификатором (PID) равным 1772 запустил services.exe с идентификатором 1816, который, в свою очередь породил несколько процессов svchost.exe и т.д.(рис. 9)

JumpToObject(uepewTu к объекту) – это возможность быстрого перехода к исследуемому объекту - ключу или разделу в редакторе реестра, папке или файлу в проводнике Windows, также можно использовать комбинацию клавиш [Ctrl+J].

Вкл\Выкл виды активности (Реестр, Файловая система, Сетевая активность, Активность процессов и нитей).

Каждому событию, перехваченному программойProcessMonitor, соответствует одна строка в окне вывода данных. Двойной щелчок на отдельной строке вызовет окно просмотра свойств события(EventProperties).

Порядок следования строк соответствует последовательности выполнения операций. Информация в окне вывода данных разделена на несколько столбцов, состав которых можно выбрать с помощью контекстного менюSelectColumns, вызываемого правой кнопкой мышки на поле описания колонок или через главное меню Options/SelectColumns(рис.10).

Возможен вывод колонок, разбитых на 3 категории:

□ ApplicationDetails- сведения о процессе;

□ EventDetails - сведения о событии;

□ ProcessManagement– данные о родительском процессе, порождаемых потоках и контексте учетной записи безопасности исследуемого процесса.

Информация, дающая представление о том, какой процесс, какую операцию выполнил, и с каким результатом можно вывести, настроив следующие поля:

1) Sequence – номер строки (порядок следования события по времени) с начала сессии перехвата отслеживаемых событий.

2) Process Name– имя процесса, вызвавшего событие.

3) Operation – выполняемая операция. Значение зависит от типа обращения и представляет собой краткое описание, как, например, открытие ключа реестра - RegOpenKey, отправка TCP пакета - TCPSend, чтение файла - ReadFile и т.д.

Path - путь, связанный с используемым ресурсом. Это может быть файл, ключ реестра, данные TCP соединения и т.п.

Рис. 10.Настройка колонок таблицы вывода данных.

4) Result – результат выполнения запроса:

endoffile– обнаружен признак конца файла (EOF) namenotfound– файл, каталог или данные реестра не найдены namecollision– была попытка создать новый файл, но файл с таким именем уже существует.

filelocked–файл открыт для монопольного доступа. success - операция выполнена успешно. invaliddevicerequest– неверный запрос к устройству. fast i/o disallowed - операция ввода/вывода запрещена.

Detail – дополнительная информация о событии, описывающая тип запроса, права доступа, свойства файла или каталога, тип данных, значение ключа реестра и т.п.