Jak sprawdzić z jakich plików korzysta wybrany program.

Aplikacje zainstalowane w systemie Windows ciągle odczytują/zapisują dane do swoich plików. Dzisiaj chciałbym wam pokazać, w jaki sposób sprawdzić z jakich plików korzysta dana aplikacja. Takie informacje mogą przydać się w trakcie analizowania podejrzanych aplikacji w waszym systemie. 

A jest to niezwykle proste – aby sprawdzić jakie pliki wykorzystuje podejrzany program musimy posłużyć się niewielkim programem ProcessMonitor. Możecie go pobrać stąd, ewentualnie z załącznika na naszym forum. ProcessMonitor nie wymaga instalacji, więc warto trzymać go na jakimś “awaryjnym” pendrive.

Jak sprawdzić jakie pliki odczytuje/zapisuje dany program za pomocą ProcessMonitor ?

Jak wspomniałem, jest to bardzo proste. Po uruchomieniu ProcessMonitor musimy stworzyć zestaw filtrów według którego będziemy szukać potrzebnych nam informacji. 

Bez nazwy 1 1 Jak sprawdzić z jakich plików korzysta wybrany program.

Klikamy zatem na ikonkę (1) z rozwijanej listy (2) wybieramy Process Name, a następnie w polu (3) wpisujemy nazwę procesu, który nas interesuje. Ograniczy to ProcessMonitor do wyświetlania informacji do aplikacji która nas interesuje.

Następnie naciskamy na przycisk Add (4),  pole (5) zmieniamy na Category, i z rozwijanej listy wybieramy Read (6).
Bez nazwy 2 1 Jak sprawdzić z jakich plików korzysta wybrany program.
Ponownie klikamy na przycisk Add i dodajemy w polu (6) Write aby uwzględnić zarówno wydarzenia odczytu jak i zapisu do plików. Po naciśnięciu na Apply/OK pozostało nam odznaczyć opcje Show Registry Activity, Show Network Activity oraz Show Process Activity aby wyświetlić jedynie potrzebne nam informacje:

Bez nazwy 3 Jak sprawdzić z jakich plików korzysta wybrany program.

Dla przykładu screenshot ze skanu aktywności mojego DosBox’a:

2019 11 22 14h21 51 Jak sprawdzić z jakich plików korzysta wybrany program.
Możecie sobie zobaczyć, w co aktualnie gram 😉

ProcessMonitor to potężne narzędzie, dzięki któremu możecie uzyskać o wiele więcej informacji niż tylko jakie operacje na dysku przeprowadza wasz proces. Przy zastosowaniu odpowiednich filtrów możecie również “wyciągnąć” informacje jakie klucze w rejestrze modyfikuje podejrzana aplikacja, bądź też z jakimi adresami IP próbuje się połączyć.

Na dzisiaj to “tylko tyle”. Przepraszam za małą aktywność na tym blogu – jak ogarnę życie w offline, z pewnością wrócę do aktywnego rozwijania mojej pasji.

Jak bardzo te informacje były dla Ciebie przydatne ?
Ocena: 5.0 (1 głos)
Momencik...

Dodaj komentarz

avatar

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subksrybuj  
Powiadom o