这是做者的网络安全自学教程系列，主要是关于安全工具和实践操做的在线笔记，特分享出来与博友们学习，但愿您们喜欢，一块儿进步。前文分享了Cracer教程的第一篇文章，详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客经常使用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看，这是一款微软推荐的系统监视工具，功能很是强大可用来检测恶意软件。基础性文章，但愿对您有所帮助。php

做者做为网络安全的小白，分享一些自学基础教程给你们，主要是关于安全工具和实践操做的在线笔记，但愿您们喜欢。同时，更但愿您能与我一块儿操做和进步，后续将深刻学习网络安全和系统安全知识并分享相关实验。总之，但愿该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！若是文章对您有帮助，将是我创做的最大动力，点赞、评论、私聊都可，一块儿加油喔~html

PS：本文参考了安全网站和参考文献中的文章（详见参考文献），并结合本身的经验和实践进行撰写，也推荐你们阅读参考文献。git

下载地址：https://github.com/eastmountyxz/NetworkSecuritySelf-study
工具地址：https://github.com/eastmountyxz/Security-Software-Basedgithub

前文学习：
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登陆加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通讯（一）
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防御
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
[网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
[网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防护初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置（一）
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防护原理（一）
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防护原理（二）
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防护（三）
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10（四）
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20（五）
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗（六）
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现（CVE-2018-20250）及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提升班之hack the box在线靶场注册及入门知识
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求（二）
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法（三）
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解（CVE-2018-12613）
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞（CVE-2019-0708）复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制做（自启动、修改密码、定时关机、蓝屏、进程关闭）
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客经常使用DOS命令web

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差别备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包正则表达式

声明：本人坚定反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络须要咱们共同维护，更推荐你们了解它们背后的原理，更好地进行防御。算法

一.Process Monitor

1.基本介绍

Process Monitor是微软推荐的一款系统监视工具，可以实时显示文件系统、注册表（读写）、网络链接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon，其中Filemon专门用来监视系统中的任何文件操做过程，Regmon用来监视注册表的读写操做过程。shell

• Filemon：文件监视器
• Regmon：注册表监视器

同时，Process Monitor增长了进程ID、用户、进程可靠度等监视项，能够记录到文件中。它的强大功能足以使Process Monitor成为您系统中的核心组件以及病毒探测工具。数据库

Process Monitor能够帮助使用者对系统中的任何文件、注册表操做进行监视和记录，经过注册表和文件读写的变化，有效帮助诊断系统故障或发现恶意软件、病毒及木马。编程

Github下载地址：https://github.com/eastmountyxz/Security-Software-Based
CSDN下载连接：https://download.csdn.net/download/lxiao428/10711509

2.使用场景

运行Process Monitor建议使用管理员模式，当你启动Process Monitor后，它就开始监听三类操做，包括：文件系统、注册表、进程。

• 文件系统
  Process Monitor显示全部的Windows文件系统活动，包括本地磁盘和远程文件系统。它会自动探测到新的文件系统设备并监听它们。全部的系统路径都会被显示为相对于在用户会话中的一个文件系统操做的执行。想在列表中清除文件系统的操做，在Process Monitor工具栏上反选“文件系统”按钮，再按下能够增长对文件系统的监听。
• 注册表
  Process Monitor记录全部的注册表操做并显示使用常见的注册表根键缩写来显示注册表路径（如HEKY_LOCAL_MACHINE 缩写为HKLM）。想在列表中清除注册表的操做，在Process Monitor工具栏上反选“注册表”按钮，再次按下能够增长对注册表的监听。
• 进程
  在Process Monitor的进程/线程监听子系统中，它将跟踪全部进程/线程的建立和退出操做，包括DLL和设备驱动程序的加载操做。想在列表中清除进程的操做，在Process Monitor工具栏上反选“进程”按钮，再次按下能够增长对进程的监听。
• 网络
  Process Monitor使用“Windows事件跟踪(ETW)”来跟踪并记录TCP和UDP活动。每一个网络操做包括源地址和目标地址，还有发送和接受到的一些数量的数据，但不包括真实的数据。想在列表中清除网络的操做，在Process Monitor工具栏上反选“网络”按钮，再次按下能够增长对网络的监听。
• 性能分析
  这个事件类能够在“选项”菜单中启用。当处于“启用”状态，Process Monitor扫描系统中全部活动的线程并为每一个线程生成一个性能分析事件，记录了内核模式和用户模式的CPU时间消耗，还有许多在上个性能分析事件后已被线程执行的环境开关。

3.新闻事件

关于Procmon软件的传闻：曾经360隐私保护器曝出腾讯“窥私门”事件。当年的QQ聊天工具在暗中密集扫描电脑硬盘、窥视用户的隐私文件，另两款聊天工具MSN和阿里旺旺则没有相似行为。随即有网友曝料称，早有人经过微软Procmon（进程监视工具）发现QQ窥私的秘密。

据悉，微软这款Windows系统进程监视工具Procmon，经过对系统中的任何文件和注册表操做进行监视和记录，也能帮助用户判断软件是否存在“越轨”行为。与360隐私保护器相比，Procmon采用了相似的原理，可是监测对象更普遍，适合具有必定电脑知识的用户使用。

Procmon监测记录代表，当时的QQ会自动访问许多与聊天无关的程序和文档，例如“个人文档”等敏感位置，上网记录等。随后，QQ还会产生大量网络通信，极可能是将数据上传到腾讯服务器。短短10分钟内，它访问的无关文件和网络通信数量多达近万项！正常的聊天工具行为是只访问自身文件和必要的系统文件。

二.Procmon分析可执行文件

1.常见用法

下载Procmon.exe软件后，直接双击启动，Procmon会自动扫描分析系统当前程序的运行状况。其中，下图框出来的4个经常使用按钮做用分别为：捕获开关、清屏、设置过滤条件、查找。最后5个并排的按钮，是用来设置捕获哪些类型的事件，分别表示注册表的读写、文件的读写、网络的链接、进程和线程的调用和配置事件。通常选择前面2个，分别为注册表和文件操做。

输出结果中包括序号、时间点、进程名称、PID、操做、路径、结果、描述等，监控项一般包括：

• 文件系统
• 注册表
• 进程：跟踪全部进程和线程的建立和退出操做
• 剖析事件：扫描系统中全部活动线程，为每一个线程建立一个剖析事件，记录它耗费的核心和用户CPU时间，以及该线程自上次剖析事件以来执行了多少次上下文转换

为了更好地定制选择，能够在过滤器中进行设置（见上图），也能够在Options菜单中选择Select Columns选项，而后经过弹出的列选择对话框来定制列的显示。经常使用列的选择包括：

• Application Details
  – Process Name：产生事件的那个进程的名字
  – Image Path：进程镜像的完整路径
  – Command Line：命令行，用于启动进程
  – Company Name：进程镜像文件中的企业名称。这个文本是由应用程序的开发者来定义的
  – Description：进程镜像文件中的产品描述信息。这个文本是由应用程序的开发者定义的
  – Version：进程镜像文件中的产品版本号。这个文本是由应用程序的开发者定义的

• Event Details
  – Sequence Number：操做在全体事件中的相对位置，也包括当前的过滤
  – Event Class：事件的类别（文件，注册表，进程）
  – Operation：特殊事件操做，好比Read、RegQueryValue等
  – Date & Time：操做的日期和时间
  – Time of Day：只是操做的时间
  – Path：一个事件引用资源的路径
  – Detail：事件的附加信息
  – Result：一个完成了的操做的状态码
  – Relative Time：一个操做相对于Process Monitor的启动后的时间，或者相对于Process Monitor的信息清除后的时间
  – Duration：一个已经完成了的操做所持续的时间

• Process Management
  – User Name：正在执行操做的进程的用户帐户名
  – Session ID：正在执行操做的进程的Windows会话ID
  – Authentication ID：正在执行操做的进程的登陆会话ID
  – Process ID：执行了操做的进程的进程ID
  – Thread ID：执行了操做的线程的线程ID
  – Integrity Level：正在运行的进程执行操做时的可信级别（仅支持Vista以上系统）
  – Virtualized：执行了操做的进程的虚拟化状态

2.实例分析

下面咱们采用分析开机自启动的某个“hi.exe”程序。注意，做者以前第36篇文章CVE漏洞复现文章中，将“hi.exe”恶意加载至自启动目录，这里分析它。

C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

第一步，设置过滤器。
打开软件Process Moniter，并点击filter->filter。

在弹出的对话框中Architecture下拉框，选择Process Name填写要分析的应用程序名字，点击Add添加，最后点击右下角的Apply。

第二步，执行被分析的应用。
双击应用程序会弹出“计算器”。

能够看到Process Mointor监控到应用的行为。

第三步，查看可执行文件的位置。
点击查找按钮，而后输入“CreateFile”。

找到该选项以后，咱们右键点击“Jump To”。

咱们能够去到该文件所在的文件夹下，即：

Win 7/10：C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Win XP：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

第四步，查看注册表选项。
查寻文件“RegSetValue”。

右键选择jump to跳转到注册表。

能够看到注册表的内容，若是自启动还能看到相关键对的设置。

Windows自动重启运行的程序能够注册在下列任一注册表的位置。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

三.Promon分析压缩包

接着咱们分析该压缩包。

第一步，过滤器设置。
打开软件Process Moniter，并点击filter->filter。在弹出的对话框中Architecture下拉框，选择Process Name填写要分析的应用程序名字，点击Add添加、Apply应用。注意，也能够增长其余过滤规则。

第二步，打开压缩包及某个文件。
未打开压缩包前运行结果以下图所示：

打开该压缩包中的“2020-02-22-china.csv”文件，这是做者Python大数据分析武汉疫情的开源代码，也推荐感兴趣的读者阅读。

Procmon显示了与WinRAR相关的操做，以下图所示。咱们能够查看运行的进程、注册表等信息。

第三步，查询“china.csv”相关的文件。

能够看到临时文件，其路径为：

C:\Users\xxxx\AppData\Local\Temp\Rar$DIa14092.24700

第四步，右键点击“Jump To”跳转查看文件。

跟踪这个目录，在C盘对应目录下找到了这个文件，打开以后和原本打开的文件内容相同。

AppData\Local\Temp
它是电脑Windows系统临时存储的文件夹，会把浏览者浏览过的网站或者其它记录保存在这里。若是下次打开相应的地址，电脑会更快提取文件，甚至在没有网络时也能查看到。这是不安全的，你保密的文件文件也可能存在该位置，建议及时删除。

第五步，WinRAR压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件，再关闭打开的压缩包。另一种方式是先关闭打开的压缩包，再关闭打开的文件。建议你们利用Process Moniter分析上述两种方式的不一样点。

打开压缩包时加载的文件个数以下图所示。

先关闭word文件，再关闭winrar。注意，关闭word文件后，Process Monitor监测到了事件；再关闭winrar，Process Monitor也监测到了事件。

这仅是一篇基础性用法文章，更多实例做者但愿深刻学习后分享出来。好比监控某个目录下文件的建立、修改、删除、访问操做，从而保存日志为文件，以便往后分析。

• WriteFile：写操做，依照文件大小可能产生多条
• ReadFile：读操做，一次读会产生不少条
• SetAllocationInformationFile：改写文件时触发
• SetEndOfFileInformationFile：改写文件时触发
• SetRenameInformationFile：重命名时触发
• SetDispositionInformationFile：删除文件时触发

四.总结

写到这里，这篇文章就介绍完毕，主要包括三部份内容：

• Procmon软件介绍
• Procmon分析可执行文件
• Procmon分析压缩包文件加载项，包括进程和注册表

接下来，做者将采用该工具在虚拟机中分析恶意样本，涉及知识点包括：

• 文件活动行为分析：Procmon监控木马客户端的文件行为
• 注册表活动行为分析：Procmon监控木马客户端的注册表设置值行为
• 网络活动行为分析：Wireshark监控网络行为、TCP三次握手链接、被控端与控制端之间的通讯过程

但愿这系列文章对您有所帮助，真的感受本身技术好菜，要学的知识好多。这是第49篇原创的安全系列文章，从网络安全到系统安全，从木马病毒到后门劫持，从恶意代码到溯源分析，从渗透工具到二进制工具，还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防，人生漫漫其路远兮，做为初学者，本身真是爬着前行，感谢不少人的帮助，继续爬着，继续加油！

欢迎你们讨论，是否以为这系列文章帮助到您！若是存在不足之处，还请海涵。任何建议均可以评论告知读者，共勉~

武汉加油！湖北加油！中国加油！！！

(By:Eastmount 2020-02-26 晚上12点写于贵阳 http://blog.csdn.net/eastmount )

参考文献：
[1] 《软件安全》实验之恶意样本行为分析
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] Process Monitor分析某个应用行为 - cui0x01
[4] https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
[5] https://wenku.baidu.com/view/aaf324150b4e767f5acfcec4.html
[6] Process Monitor中文手册 - D_R_L_T
[7] ProcessMonitor文件以及注册表监视器的使用 - Amrecs
[8] Process Monitor监控目录 - 监控文件被哪一个进程操做了 - kendyhj9999