[yoyo007]

Process Monitor 相關使用說明

引用:

一、用 Process Monitor 找出程式釋放的語言檔

引用:

二、Process Monitor 基本操作教學

轉載自：http://blog.darkthread.net...08/18/977.aspx

【茶包射手專欄】Process Monitor 基本操作教學

有網友在問 Process Monitor 如何使用，我想了想，這位茶包一哥在本 Blog 出生入死破案無數，卻還真的沒正式介紹過它的操作使用方式。所以，Process Monitor 的初級使用教學來了!

SysInternals 的兩位天才被挖去微軟後的第一個代表作，就是將原本的 File Monitor (FileMon) 與 Registry Monitor (RegMon) 兩套工具，金剛合體成 Process Monitor，這真是個叫人感動落淚的舉動呀~~~

以往在排除問題時，常常要同時留意 File 及 Registry 存取狀況，所以就要同時開 FileMon跟 RegMon，故意讓問題再發生，然後同時關閉 FileMon 及 RegMon，開始比對二者的記錄: 找出 FileMon 讀取 A 檔的時點，對照到 RegMon 看當時讀了哪個 Registry，在還沒有搞出雙螢幕之前，我還常得把 RegMon 的記錄檔 Copy 到 Notebook 上，一眼看 PC，一眼看 Notebook 方便比對。對不起，我又開始碎碎唸了，這些吃蕃薯籤的回憶，還是留給中年人獨自品嚐好了。XD

總之，ProcMon 把 RegMon 與 FileMon 的監控放在一起，實在是佛心來著!

要用 ProcMon 的第一步當然要先去下載，網址在 這裡，免安裝，我都只解 EXE 檔出來放在桌面就開始幹活。




開啟後，你會看到如上圖的畫面，通常我都只用到 Toolbar 的那一排按鈕就玩得不亦樂乎。我用顏色標出來幾個重要功能，說明如下:

1 開啟/停止記錄事件: 打 X 時表示現在停止捕捉事件

2.自動下捲: 由於監聽過程中，清單會不斷增長，你可以選擇 ProcMon 永遠顯示清單最下方的最新記錄。不過清單通常長得很快，會捲到你眼花。

3.清除目前清單中的記錄

4.設定Filter: 超重要! ProcMon是廢鐵或是寶劍全看你會不會設 Filter，後面再做詳細介紹

5.指定桌面程式: 這個小瞄準器在 SPY++ 裡很有名。如果你今天想要觀察某個桌面程式讀了哪些 Registry、寫了哪幾個 File，將小瞄準器拖拉到那個程式的 UI 上，ProcMon 就會在 Filter 中加入限定該程式的條件 (指定 Process ID)

6.搜尋: 在現有的記錄中找尋特定文字

7.跳至Registry/File: 粉方便的功能! 在記錄中會看到某些 Registry 或 File 的名稱，點選那一列記錄後按下去，若是 Registry 記錄就會開 Registry Editor 停在該 Registry Key 上，若是 File 就會開啟 FileMonitor 停在該檔案的所在目錄上。在記錄上按右鍵也有個 Jump To，效果相同。

8, 9, 10: 用來指定你要監聽的範圍，分別是 Registry、File 及 Process 活動，如果你只關心 File 存取，就只開啟 File，真正的線索才不會被埋藏在一大堆沒用的 Registry 記錄中。

好了，接著來看 ProcMon 操作的精華所在，設定 Filter!!




每一則 Filter 條件分為三個部分，第一部分是欄位，每一筆記錄有很多欄位，你可以限定某個欄位必須符合某個條件的事件才要"顯示"，第二部分可指定要等於、包含等運算子，第三部分則是特定的字串值，最後要指定這個條件要包含進來還是排除掉。

注意到沒有，我剛才說 Filter 指的是"顯示"條件，而不是"捕捉"條件哦! 第一張圖的 Status Bar 中有個 Showing 11,894 of 39,380，意思是 ProcMon 保留了四萬筆記錄，依現在的 Filter 條件只 Show 其中的 30%，可以事後再修改條件，篩選不同的記錄來看。這又是一個本著佛心的新設計，過去使用 FileMon/RegMon 時常發生因條件太嚴沒抓到關鍵事件，只好改條件再來一次的狀況，現在 Filter 可以事後再 Tune，節省了很多重頭來過的時間。

不過修改 Filter 的操作有點奇特，在下方清單點兩下，該條件會從清單中移除，移到上方，修改後要按 Add 把它加回清單，如果你改完直接按 OK，條件就消失了，剛開始用要花點時間習慣。

用個實例來說，如果我想在 XP/2003/Vista 下觀察 IIS 的活動，可以設定以下的 Filter:



Process Name is 'w3wp.exe' 這樣子 ProcMon 會抓到所有 w3wp.exe 對 File 及 Registry 的存取，若你的 IIS 有多個 Application Pool，則會有多個 PID 不同的 w3wp.exe，你可以試著再找到關注對象的 Process ID，進一步縮小範圍。



按下閞始捕捉後，會得到如上圖的一大串記錄，清單中 Operation 是 RegOpenKey、RegCloseKey、RegQueryValue 的是 Registry 記錄，CreateFile、CloseFile、ReadFile 等則是 File 存取記錄。在每則記錄上按右鍵還有好幾個貼心的功能，你可以用 Exclude/Include 加入與這筆記錄相關的 Filter 條件後立即生效。這樣我們可以先設較寬的 Filter 組合，在檢視結果的同時再一一排除無關者，迅速縮小範圍。Property 則可看到該筆記錄的全部細節，例如: 發生 Access Denied 時，甚至還可以看到 Impersonate 的情形。

上圖中沒顯示出來，但 Path 後方還有個重要欄位叫 Result，就是這個動作的執行結果，NOT FOUND/ACCESS DENIED 之類的，通常是值得我們關注的焦點。

今天的 Process Monitor 基本使用課程就講到這裡，下課!!

引用:

三、使用 ProcMon 五分鐘內破案的經典案例

轉載自：http://blog.darkthread.net/blogs/......10/959.aspx

【茶包射手專欄】使用 ProcMon 五分鐘內破案的經典案例

Could not load file or assembly 'System.EnterpriseServices, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' or one of its dependencies. Access is denied.

小組裡有台"鬧鬼"(註)的測試機器，老愛出些稀奇古怪的錯誤。今天執行某支 ASPX 時，發生以上錯誤...

一般人遇到這種狀況，除了重灌 .NET Framework、重灌 IIS、重灌 Windows、去行天宮拜拜跟改行不寫程式之外，多半就只能束手無策。不過如果有 Process Monitor 在手，情況就不一樣了。

遇到 Access Denied 型的 Error 的，我的反射動作就是開啟 Process Monitor；由於這個錯誤訊息很精確地指出無法存取的檔案是 System.EnterpriseServices.dll，因此加個 Path Contains "System.EnterpriseServices" 的 Filter，再瀏覽一次有問題的 URL，立即就找到 Access Denied 的證據。



利用 Jump To 直接跳至 GAC 下的問題 Folder，檢查一下權限，果然! 不知怎麼地，該目錄只剩下 SYSTEM 跟 Administrators 有權讀取，難怪用 NETWORK SERVICE 執行的 w3wp.exe 會吃閉門羹。參考其他類似目錄，補上權限，問題就消失了! 前後只花了不到五分鐘。



講到SystemInternals的這些好工具，306期 iTHome 的封面故事剛好就以它為主題，而兩位 MVP (賴榮樞、鄭子璉) 與我也分享了自己的使用心得 (咳... 還有照片哦，要簽名的人請帶週刊私下找我，目前沒有辦簽書會的計劃)，有興趣的人可以去找來翻翻。

====== 我是分隔線 ======

註: 所謂"鬧鬼"有兩種解釋: 一是指機器上常出現無法理解的怪現象，讓人直呼見"鬼"了；第二種是有程式麻瓜、電腦白目在搞"鬼"，進行各種不可思議的系統修改與設定，任誰都猜不出問題會出在這種地方。

引用:

四、使用 Process Monitor + Syscheck 移除木馬

轉載自：http://hi.baidu.com/drzebra......7ddfbb3fb9569.html


「IEHelper_*.dll」木馬組件的刪除，syscheck 反黑工具 ＋ Process Monitor 組合拳出擊！

一、IEHelper_*.dll 木馬的種類，存在位置和危害

我搜索了一下IEHelper_*.dll至少有以下幾個版本：

IEHelper.dll
IEHelper_5001.dll Iehelper_5012.dll Iehelper_5013.dll
Iehelper_5016.dl Iehelper_5025.dll Iehelper_5026.dll
Iehelper 5048.dll IEHelper_5058.dll IEHelper_5066.dll
Iehelper_5068.dll Iehelper_5078.dll IEHelper_5201.dll
IEHelper2006829_4702.dll

該木馬存在的常見位置為：

%System%\IEHelper.dll
X:\Program Files\BB\IEHelper
X:\Documents and Settings\All Users\Application Data\Microsoft\UserData\IEHelper_*.dll
X:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper_*.dll

危害/危險程度：

1.這木馬組件用來攔截按鍵，攔截鍵盤信息。IEHelper.dll 處理在瀏覽器中輸入數據所引發的 IE 事件。並將攔截的數據及URL存放在 %system%Passlogx.log 中[1]。
2.IEHelper 如不及時清除，會引進數十種木馬，嚴重的導致計算機系統崩潰、藍屏，較輕的導致運行速度極慢。
3.影響系統穩定性，IE 無法打開，不定期跳出不明網頁IE彈出廣告。

二、網絡上的解決辦法 (沒有驗證，不一定有效！)

方法1：[2]

A.先關閉 IE 瀏覽器;
B.再[開始]->[運行]-> regsvr32 /u x:\xx\iehelper_×.dll;
C.到 IEhelper.dll 的安裝目錄下，直接刪除它;
D.清理一下註冊表，對「IEHelper_×.dll」做徹底清除。

方法2：[3]

A.金山毒霸中帶有文件粉碎機這個程序，我就用這程序把「IEHelper_5066.dll」直接粉碎
B.粉碎後有會出現個「KKKKKKKKK」的文件，然後在把這文件剪貼到另外一個文件夾下，之後 DEL 直接刪除。
C.清理一下註冊表，對「IEHelper_×.dll」做徹底清除。

方法3： 該方法有點搞笑？

A.先找到 DLL 文件的目錄
B.然後把 IEHelper_×.dll 剪切移動到桌面上
C.刪除這個 DLL 文件的上一級目錄,好像是 userdata,
D.然後回到桌面,把那個DLL文件直接拖到回收站裡,最後清空回收站應該就搞定了.

三、本站提供的較為專業的手動清除辦法

首先,下載兩個工具：

1。syscheck 反黑工具：http://free5.ys168.com/?wangsea
2。Process Monitor 進程監視軟件：本帖下載。

(一) 簡易方法： 針對 IEHelper_X.dll 的注入 iexplore.exe 進程的情況

A. 打開一個IE瀏覽器窗口
B.【運行 syscheck1.0061】->【進程管理】->
C. 按下底下【防止驅動阻止修復】，同時選取【禁止外部線程創建】->
D. 選定【iexplore.exe】->查看界面下半部分【模塊信息】

註：【模塊信息】中包含了 IE 瀏覽器加載的所有 DLL,OCX 文件信息

E. 選定【模塊信息】中的 IEHelper_×dll 項-> 點擊鼠標右鍵->【卸載模塊並刪除文件】
F. 等上幾秒鐘，IEHelper_×.dll 就被完全刪除了。
G. 最後清理一下註冊表，搜索「IEHelper_×.dll」內容，徹底清除。

用以上的方法可以刪除最厲害的病毒/木馬，沒有不成功的！
IceSworld刪除不了的，syscheck也可以呵！
再次謝謝紅葉大蝦，開發出如此優秀的反黑軟件！

(二)高級方法： 針對 rookit 技術的病毒主程序釋放出/修復 IEHelper_×.dll 的情況

A. Process Monitor 監視文件 IEHelper_X.dll 的活動，檢查其注入到哪個進程，或由哪個病毒主程序釋放。
【運行Process Monitor 1.0】-> 跳出【Process Monitor Filter】選項：

【Auhentication ID】下拉選中 path (路徑)->
【is】下拉選中 contains (包含)->
【】空白處輸入 IEHelper->
【Include】不要更改->
點擊【Add】按鈕->
點擊【ok】按鈕->

設置好了，接下來，你要耐心等待3－5分鐘....，因為 Process Monitor 將對所有的系統消息 (至少40萬條) 進行篩選。包含【IEHelper】內容的文件讀寫,註冊表操作,線程進程活動都會被捕獲，你可以一覽無餘了。

B. 直接去 IEhelper_*.dll 的安裝目錄下,做一下刪除操作

註：當然刪不掉的啦，只不過是激活一下木馬，看看到底是哪個隱藏的進程在保護它。
只要木馬病毒有活動，Process Monitor 就會將這些活動記錄在案，哈哈！

C. 回到 Process Monitor 界面，查看新增加的包含 IEhelper 的消息。
你只要查找 path 欄中含有你的 IEhelper_*.dll 的信息，看看 Process Name 是誰？

D. 如果發現是 explorer.exe, svhost.exe,lsass.exe,rundll32 之類的系統進程，那說明 IEhelper_*.dll 是注入到系統進程中來發揮作用。

解決方法見 (一) 簡易方法.....--->【卸載模塊並刪除文件】即可

E. 如果發現 Process Name 是非系統進程的陌生 exe，那就是病毒主程序啦。
記下位置，以及 exe 文件名。

【運行 syscheck1.0061】->到【進程管理】看看->病毒主程序是否在進程裡->
在的話點擊鼠標右鍵->【刪除進程到回收站】

或

【僅結束指定進程】->然後點擊 syscheck【文件瀏覽】

->類似windows資源管理器操作，到病毒主程序所在位置
(下部有一個【僅顯示有隱藏屬性的文件】，有時看非隱藏屬性文件要去掉前面的鉤)
->選定病毒主程序->點擊鼠標右鍵->【刪除文件】
(或【傳送到其它文件夾】，作為病毒樣本保存)

F. 通過步驟【E】，病毒主程序也被我們幹掉了。有時病毒的保護程序不止一個，此時參照【U 盤病毒MVS.exe，MVH.exe，ALMV.exe，RCS.exe 的清除】操作。

G. 此時的 IEhelper_*.dll 已經成為孤家寡人，直接刪掉就是。
H. 最後清理一下註冊表，搜索「IEHelper_*.dll」內容，徹底清除。

如果以上操作無誤，並解決了問題，而且幹得很利索...
恭喜！你已經步入刪毒高手之列。
以後什麼木馬病毒，依葫蘆畫樣統統都搞定!