Вредоносное ПО (malware) - это назойливые или опасные программы,...
Непонятные файлы на диске мы обнаруживаем двумя путями. Либо они явно видны в проводнике или файловом менеджере, либо к ним приводят поиски причины исчезновения свободного места на диске. Хорошо, если после удаления файлов, они больше не появляются. Но так бывает не всегда, и в этом случае приходится определять приложение, которое их создает.
Однажды на форум обратился человек, у которого какое-то приложение записывало в корень системного диска файлы, в имени которых содержится tmp _out .
Конечно, не исключено, что эта система заражена, и требуется тщательная проверка всевозможными антивирусными средствами. Но далеко не всегда проблема связана с вредоносным кодом, и тогда понадобится другой подход. Проще всего вычислить виновника появления таких файлов с помощью утилиты . И через четыре минуты вы узнаете, как это сделать.
Отслеживание активности
При запуске утилита отслеживает несколько типов системной активности:
- реестр
- файловую систему
- процессы и потоки
Поскольку мы ищем причину записи файлов на диск, нужно сосредоточиться на активности в файловой системе. Для этого на панели инструментов оставьте включенной только одну кнопку, отвечающую за активность на диске.
Кроме того, убедитесь, что утилита отслеживает активность. Если у вас перечеркнута кнопка, которая на рисунке обведена красным, нажмите CTRL+E .
На рисунке выше активность отслеживается, причем только в файловой системе.
Основной фильтр
Теперь нужно применить фильтр, чтобы исключить не относящуюся к делу активность. Нажмите сочетание клавиш CTRL+L , и вы увидите возможности фильтрации. В Process Monitor сразу активны некоторые фильтры, исключающие отслеживание деятельности самой программы, а также некоторых системных компонентов (файла подкачки, таблицы MFT и т.д.). Это сделано для того, чтобы исключить мониторинг стандартной активности системы. В большинстве случаев удалять эти фильтры не нужно, и достаточно просто добавить свой.
На рисунке выше показан фильтр, который будет отслеживать создание и изменение всех файлов, в путях к которым содержится tmp _out . Давайте разберем фильтр подробнее слева направо:
- Path . Путь в файловой системе. Также можно указывать разделы реестра, когда отслеживается активность в нем.
- contains . Условие, по которому определяется поиск ключевого слова. В переводе с английского это слово означает «содержит». В зависимости от задачи можно конкретизировать условие, выбрав вариант begins with (начинается с) или ends with (заканчивается на).
- tmp _out . Ключевое слово, которое в данном случае должно содержаться в пути. Имя файла и его расширение являются частью полного пути к файлу.
- Include . Включение заданного условия в список отслеживаемых.
Не забудьте нажать кнопку Add , чтобы добавить фильтр в список. Впрочем, если вы забудете, Process Monitor напомнит об этом, прежде чем закрыть окно фильтров.
В данном случае я использовал часть имени файла в качестве ключевого слова, поскольку все непонятные файлы содержат в имени tmp_out. Если файлы создаются с разными именами, но зато в определенной папке, используйте путь к этой папке в качестве ключевого слова.
Поскольку задано жесткое условие фильтрации файловой активности, в окне программы, скорее всего, теперь не будет отображаться никаких процессов. Но Process Monitor уже начал их отслеживать.
Проверить работу фильтра очень просто. Достаточно создать в текстовом редакторе файл с искомым именем или в наблюдаемой папке, и Process Monitor моментально отреагирует на это.
Дополнительные фильтры
Обратите внимание, что утилита зафиксировала не только активность блокнота, но также проводника и поиска Windows. Не относящиеся к делу процессы можно исключить из результатов, создав дополнительные фильтры. Достаточно щелкнуть по процессу правой кнопкой мыши и выбрать из контекстного меню пункт Exclude <имя процесса> . Это самый простой способ создания фильтра, но можно сделать это из окна фильтрации, как показано выше. В этом случае условие будет: Process Name – Is — <имя процесса> — Exclude .
Запись и открытие лога
Учтите, что при длительном отслеживании размер лога может измеряться гигабайтами. По умолчанию Process Monitor записывает лог в файл подкачки. Если у вас маленький системный раздел, имеет смысл сохранять лог в файл на другом разделе диска.
Для сохранения лога в файл нажмите сочетание клавиш CTRL+B и укажите имя и желаемое расположение файла.
Изменения вступают в силу после перезапуска захвата активности. Теперь можно смело оставить Process Monitor включенным на длительное время, не опасаясь за лимит дискового пространства.
Остановить отслеживание активности можно сочетанием клавиш CTRL+E .
Впоследствии вы всегда сможете загрузить в утилиту лог из сохраненного файла. Закройте Process Monitor и дважды щелкните файл лога с расширением PML. Содержимое лога отобразится в окне Process Explorer.
Человек, обратившийся на форум с проблемой, так и не вернулся сообщить, помог ли ему мой совет. Но он был с таким вопросом не первый и, наверняка, не последний. Если вопрос возникнет у вас, вы сможете ответить на него с помощью Process Monitor.
О видео
Читатели блога выразили поддержку моей идее дополнять статьи видеоматериалами. Я подумал, что этот случай очень хорошо подходит, и записал ролик длиной менее 4 минут.
Если честно, создание такого видео занимает намного больше времени, чем написание статьи. Поэтому я в любом случае не готов заменять печатный текст видеоматериалами. Но мне кажется, что в данном случае видео интереснее и понятнее. А что вы думаете по этому поводу?
Видео длится около четырех минут, и я старался сделать его быстрым и емким. Ведь в реальности подготовка к поимке приложения занимает буквально одну минуту. Вас устраивает скорость изложения?
Более подробный рассказ о Process Monitor и другие примеры его практического использования вы можете посмотреть в видео моего коллеги Василия Гусева , если у вас есть свободные 40 минут:)
Любая программа при выполнении использует различные ресурсы компьютера и операционной системы. Изменения на компьютере происходят постоянно, миллионы событий происходят прямо сейчас одновременно в различных его периферийных составляющих. Приложения обращаются к файлам на жестком диске, адресам оперативной памяти, системным переменным, пишут и читают ветки реестра, работают в рамках процессов и потоков, подключаются к внешним библиотекам DLL и драйверам устройств, извлекают из конфигурационных файлов значения и сохраняют в них программные переменные. Если нужно отследить в режиме реального времени все действия, которые совершает та или иная программа, или отдельный процесс, или все программы, процессы и потоки сразу, воспользуйтесь замечательным инструментом для отслеживания всех происходящих в системе событий бесплатной программой Process Monitor.
Как отследить все события на компьютере
Process Monitor подробно расскажет пользователю, что в режиме реального времени происходит когда запускается и работает та или иная программа, какие файлы она открывает и что пишет в реестр. Вся сетевая активность отражается Process Monitor в разрезе приложения, использующего сетевую карту с драйвером, профиля процесса, номера порта, длины пакета и состояния стека в момент времени. Все действия сохраняются в журнале, пополняющимся записями, разделенными на миллионные доли секунды. Система фильтрации, реализованная в Process Monitor, позволяет более гибко и конкретно отследить то или иное событие. Утилита поддерживает запуск и работу из командной строки. Process Monitor это всевидящее око, пишущее историю каждого импульса в мире электронов и переключателей, фиксирующего любое действие и событие на компьютере.
Скриншоты программы Process Monitor
|
Cообщить об ошибке
Битая ссылка на скачивание Файл не соответствует описанию Прочее
– это мощная бесплатная утилита, которая предназначена для контроля в режиме реального времени всех подгруженных в операционной системе различных процессов. Изначально она была создана компанией Sysinternals, однако позже была приобретена Microsoft Corporation. Программа показывает самую подробную техническую информацию обо всех работающих процессах, в том числе использование всей системной памяти, подгруженных библиотеках и многую остальную техническую информацию.
Активная область программы состоит из двух отдельных окон. В первом из них отображается список всех загруженных на текущий момент в системе процессах, в том числе имена пользователей и учетных записей, от которых запущены эти процессы. В зависимости от конкретного выбранного режима, нижнее окно может отображать разную дополнительную информацию. Так, в первом случае (в режиме обработки) можно увидеть все открытые дескрипторы, которые относятся к процессу, который был выбран в самом верхнем окне. В режиме работы библиотек DLL в этом окне отображаются все занятые процессом динамические библиотеки, а также отображенные в памяти файлы.
Кроме этого, Process Explorer имеет мощные возможности интеллектуального поиска, благодаря которому с легкостью можно достоверно узнать, у какого процесса какой открыт дескриптор или какая из библиотек DLL загружена.
Приложение очень полезно для решения различных проблем, связанных с версиями DLL библиотек, а также обнаружения утечек в памяти.
Примечательно, что выводимая приложением информация намного подробнее той, которую предоставляет стандартный Диспетчер задач от Windows. Среди наиболее примечательных свойств этой утилиты – возможность уточнить, какому именно процессу принадлежит то или иное окно на рабочем столе.
Процесс Эксплорер — работает на операционных системах Микрософт Виндовс ХР и выше, в том числе и 64-битные версии. Самая свежая редакция программы поддерживает 64-битный режим систем Vista, Windows 7 — Windows 10. Для этих версий операционных систем выпускается самораспаковывающийся архив программы, с запускающимся затем процессом procexp64.exe.
Возможности программы:
- Древовидное отображение процессов.
- Возможность распознавания системных процессов (является тот или иной процесс системным или сторонним).
- Отображение иконки, а также названия компании-изготовителя для каждого процесса.
- Графические наглядные индикаторы, а также изменяемый диапазон загрузки центрального процессора.
- Функция заморозки любого процесса.
- Удобная возможность управления (пауза, запуск и остановка) отдельными нитями (потоками) процесса.
- Функция вывода окна, которое принадлежит тому или другому процессу поверх всех остальных.
- Возможность закрытия сразу всего дерева процессов.
- Функция в реальном стандартном режиме времени изменять приоритет и также ядро, которое будет выполнять тот или прочий процесс.
- Возможность анализа сертификата файла того или иного сист. процесса.
- Функция замены стандартного Диспетчера задач по все тем же самым горячим клавишам.
- Для всех объектов, которые имеют ACL, имеется вкладка «Безопасность» (начиная с версии 12-04).
Итак, перед вами мощный инструмент, который позволяет отслеживать состояние и все процессы, которые запущены ы вашей операционной системе. Небольшие размеры, понятный интерфейс, большой функционал – все эти стороны выгодно выделяют приложение Process Explorer перед остальными аналогами стандартного Диспетчера задач.