找回密码
 注册

QQ登录

只需一步,快速开始

搜索
网吧三国 首页 IT技术 技术方案 查看内容

WindowsMonitor捕捉程序行为操作

2017-9-30 09:37| 发布者: yangshuangyu| 查看: 11116| 评论: 0|原作者: 顺网小哥

WindowsMonitor捕捉程序行为操作


  【工具特点】
  1:免除安装一些监控软件的麻烦,运行程序后自动在目录下记录日志,静默收集进程创建过程信息。
  2:并非驱动级,不会造成客户机蓝屏等情况。
  【工具功能及用途】
  1:病毒运行情况探测,抓取最原始样本。时刻监视客户机程序启动情况。
  2:弹出式广告查询,轻松抓取谁创建的窗口,谁弹出的IE。3:异常程序查询
  【运行环境】Win7、Win2008 32/64位
下载地址:https://pan.baidu.com/s/1o6JXG62
  【使用方法介绍】
  程序可以通过开机命令直接调用,运行后有日志打印,日志名称默认为机器名+当前日期,路径默认为程序目录
  程序运行后会首先将所有进程信息打印到日志内,避免后面监控进程创建时找不到父进程PID的情况。
  每当有新进程创建,程序都会将进程的PID、名字、路径、父进程PID、父进程名称、父进程路径等信息打印到日志中
  程序配套的还有一个config.ini配置文件,用来控制程序的拓展功能
  --------------------------------------------------------------------------------------------------------------------
  |[CFG]
  |匹配目录路径=\process\  ;匹配拷贝程序的路径特征,带有\process\路径的都拷贝
  |日志存放路径=       ;默认为空,空的话就是当前程序目录,支持共享路径
  |文件存放路径=       ;默认为空,空的话就是当前程序目录,支持共享路径
  |是否拷贝=no         ;默认为no,no就是不开启拷贝功能,如为yes则判断启动程序路径符合第一条匹配的目录就自动拷贝
  |是否MD5计算=no     ;默认为no,no就是不开启MD5计算功能,如为yes则启动的进程都会进行MD5计算并写入日志
  |是否监控进程退出=no   ;默认为no,no就是不开启程序退出监控,如为yes则监控当前所有程序退出情况并写入日志
  |是否监控dll加载=no    ;默认为no,no就是不开启dll加载监控,如为yes则监控程序启动时候的dll模块
  |是否监控文件操作=no   ;默认为no,no就是不开启文件操作监控,如为yes则监控指定路径的文件操作情况
  |监控文件操作的路径=C:\   ;默认为C盘,该路径为配合文件监控操作的路径
  ------------------------------------------------------------------------------------------------------------




 
  
1

鲜花

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

  • 鲜花

    匿名

最新评论

小黑屋|手机版|Archiver|联系我们|网吧三国

GMT+8, 2024-3-29 06:18 , Processed in 0.028614 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

返回顶部