1.1K
El Monitoreo de procesos (ProcMon) La herramienta se utiliza para rastrear la actividad de varios procesos en el sistema operativo Windows. Esta utilidad le permite mostrar cómo los procesos acceden a archivos en disco, claves de registro, recursos remotos, etc. en tiempo real. El ProcMon combina las capacidades de dos utilidades Sysinternals heredadas a la vez: archivolun y RegMon.
Con Process Monitor, puede:
- Realice un seguimiento de los eventos de inicio y cierre de procesos y subprocesos, incluida la información sobre el código de salida;
- Recopilar datos sobre los parámetros de las operaciones de entrada y salida;
- Establezca filtros para mostrar solo la información necesaria. Por ejemplo, sobre las acciones de un proceso específico, el acceso a un archivo específico o una clave de registro;
- Registrar todas las operaciones durante el arranque del sistema (procesos de inicio, servicios). Esto es útil para diagnosticar un arranque lento de Windows.
ProcMon no es una utilidad del sistema integrada, por lo que debe descargarlo manualmente desde el sitio web de Microsoft. Process Monitor no requiere instalación. Extraiga el archivo y ejecute el procmon.exe (procmon64.exe) archivo ejecutable como administrador.
Cuando inicia Process Monitor por primera vez, aparece un acuerdo de licencia (EULA) en la pantalla que requiere la confirmación del usuario.
Cuando se inicia ProcMon, instala un controlador de sistema especial PROCMON20.SYS. Intercepta llamadas a funciones del sistema para las siguientes operaciones: acceso al sistema de archivos, registro, actividad del proceso, conexiones de red.
Uso de Process Monitor para realizar un seguimiento de los cambios en archivos y registros
En este artículo, le mostraremos cómo realizar un seguimiento de los accesos y los cambios en los archivos y el registro en su computadora local utilizando Process Monitor.
Digamos que necesita rastrear el acceso a la clave de registro HKEY_CURRENT_USERSoftwaretest y al archivo c:psprocmon_example.txt.
Cuando se inicia Process Monitor, comienza a capturar todos los eventos de acuerdo con los filtros predeterminados.
Deje de capturar eventos desmarcando la opción Archivo > Capturar eventos (Ctrl+E) y borre el registro actual de ProcMon (Editar > Borrar visualización).
Ahora necesita configurar los filtros de Process Monitor (Filtro > Filtro). Los filtros le permiten especificar varios criterios para agregar o excluir eventos del monitoreo.
El filtro predeterminado ya excluye eventos de una actividad estándar del sistema de Windows y el propio proceso procmon.exe. En la mayoría de los casos, no es necesario eliminar estos filtros. Agregaremos algunos filtros adicionales.
Cree un filtro para monitorear el acceso a la clave de registro: Ruta > contiene > SOFTWAREprueba > Incluir. Hacer clic Agregar para agregar un nuevo filtro a la lista.
Ahora agregue un filtro de eventos de acceso a archivos: Ruta > es > c:psprocmon_example.txt > Incluir.
Asegúrese de que las siguientes opciones estén habilitadas en la barra de herramientas de ProcMon: Mostrar actividad del registro, Mostrar actividad del sistema de archivos. Mostrar actividad de red y mostrar proceso y subprocesos Actividad las opciones se pueden deshabilitar.
Inicie el monitoreo de eventos Archivo > Capturar evento.
Como ejemplo, vamos a crear una clave de parámetro de registro en la clave de registro especificada usando el símbolo del sistema:
reg add hkcusoftwaretest /v Path /t REG_EXPAND_SZ /d ^%systemroot^%
Entonces, vamos a escribir algunos datos en el ejemplo_procmon.txt archivo usando la línea de comando:
echo %date%>>c:psprocmon_example.txt
Y usando PowerShell:
Get-Process|out-file C:psprocmon_example.txt
Cambie a la ventana ProcMon. Como puede ver, contiene eventos para crear una clave de registro mediante el proceso reg.exe (Operación > RegCreateKey). También contiene eventos de creación (Crear archivo) y escritura en un archivo (Escribir archivo) por los procesos cmd.exe y powershell.exe.
La lista de eventos contiene el proceso del sistema. msmpeng.exe (Ejecutable del Servicio Antimalware). Este es el proceso central del motor de detección de antimalware en Windows Defender. Para excluir los eventos de este proceso del registro de ProcMon, haga clic derecho en el nombre del proceso msmpeng.exe y seleccione Excluir “….”.
Este proceso se agregará al filtro ProcMon con el valor Excluir. Significa que el registro de ProcMon no mostrará ninguna actividad de este proceso.
De esta manera, excluya cualquier otro proceso confiable que esté accediendo a su archivo o clave de registro. Ahora, si algún proceso que se ejecuta en Windows intenta leer o escribir en un archivo de seguimiento o clave de registro, verá este evento en Process Monitor.
Sugerencias. Ejecutar Process Monitor puede afectar negativamente el rendimiento de su computadora. Independientemente de los filtros configurados, almacena todos los eventos en la RAM (incluso si no se muestran en la ventana). Si ProcMon se ha estado ejecutando durante mucho tiempo, puede ocupar toda la memoria RAM disponible. Puede configurar ProcMon para almacenar eventos no en la memoria virtual sino en un archivo en el disco. Para hacer esto, seleccione el Archivo > Archivos de respaldo > Usar archivo con nombrey especifique el nombre del archivo. Si desea que ProcMon guarde solo los eventos que coincidan con sus filtros y elimine todos los demás, habilite la opción Filtrar > Soltar eventos filtrados.
Por ejemplo, desea supervisar solo los eventos de escritura en un archivo. Haga clic en la ventana de ProcMon en la línea con el Escribir archivo tipo de operación, y agregue este evento al Incluir filtrar.
Por lo tanto, cualquier objeto o evento en ProcMon se puede agregar a los filtros, de modo que se muestren frente a usted el conjunto mínimo de eventos que necesita para analizar el acceso a un archivo o registro.