PoradnikiPC/Windows

Jak sprawdzić z jakich plików korzysta wybrany program.

Aplikacje zainstalowane w systemie Windows ciągle odczytują/zapisują dane do swoich plików. Dzisiaj chciałbym wam pokazać, w jaki sposób sprawdzić z jakich plików korzysta dana aplikacja. Takie informacje mogą przydać się w trakcie analizowania podejrzanych aplikacji w waszym systemie. 

A jest to niezwykle proste – aby sprawdzić jakie pliki wykorzystuje podejrzany program musimy posłużyć się niewielkim programem ProcessMonitor. Możecie go pobrać stąd, ewentualnie z załącznika na naszym forum. ProcessMonitor nie wymaga instalacji, więc warto trzymać go na jakimś “awaryjnym” pendrive.

Jak sprawdzić jakie pliki odczytuje/zapisuje dany program za pomocą ProcessMonitor ?

Jak wspomniałem, jest to bardzo proste. Po uruchomieniu ProcessMonitor musimy stworzyć zestaw filtrów według którego będziemy szukać potrzebnych nam informacji. 

Bez nazwy 1 1

Klikamy zatem na ikonkę (1) z rozwijanej listy (2) wybieramy Process Name, a następnie w polu (3) wpisujemy nazwę procesu, który nas interesuje. Ograniczy to ProcessMonitor do wyświetlania informacji do aplikacji która nas interesuje.

Następnie naciskamy na przycisk Add (4),  pole (5) zmieniamy na Category, i z rozwijanej listy wybieramy Read (6).
Bez nazwy 2 1
Ponownie klikamy na przycisk Add i dodajemy w polu (6) Write aby uwzględnić zarówno wydarzenia odczytu jak i zapisu do plików. Po naciśnięciu na Apply/OK pozostało nam odznaczyć opcje Show Registry Activity, Show Network Activity oraz Show Process Activity aby wyświetlić jedynie potrzebne nam informacje:

Bez nazwy 3

Dla przykładu screenshot ze skanu aktywności mojego DosBox’a:

2019 11 22 14h21 51
Możecie sobie zobaczyć, w co aktualnie gram 😉

ProcessMonitor to potężne narzędzie, dzięki któremu możecie uzyskać o wiele więcej informacji niż tylko jakie operacje na dysku przeprowadza wasz proces. Przy zastosowaniu odpowiednich filtrów możecie również “wyciągnąć” informacje jakie klucze w rejestrze modyfikuje podejrzana aplikacja, bądź też z jakimi adresami IP próbuje się połączyć.

Na dzisiaj to “tylko tyle”. Przepraszam za małą aktywność na tym blogu – jak ogarnę życie w offline, z pewnością wrócę do aktywnego rozwijania mojej pasji.

Czy ten wpis okazał się dla Ciebie przydatny ?

Możesz go ocenić:

Średnia ocena: 0 / 5. Głosów: 0

Jeszcze nikt nie zagłosował ! Chcesz być pierwszy ?

Zostaw komentarz


Obserwuj nasz blog !
Podaj swój adres email, by być informowanym na bieżąco o nowych artykułach pojawiających się na naszej witrynie.