Aplikacje zainstalowane w systemie Windows ciągle odczytują/zapisują dane do swoich plików. Dzisiaj chciałbym wam pokazać, w jaki sposób sprawdzić z jakich plików korzysta dana aplikacja. Takie informacje mogą przydać się w trakcie analizowania podejrzanych aplikacji w waszym systemie.
A jest to niezwykle proste – aby sprawdzić jakie pliki wykorzystuje podejrzany program musimy posłużyć się niewielkim programem ProcessMonitor. Możecie go pobrać stąd, ewentualnie z załącznika na naszym forum. ProcessMonitor nie wymaga instalacji, więc warto trzymać go na jakimś “awaryjnym” pendrive.
Jak sprawdzić jakie pliki odczytuje/zapisuje dany program za pomocą ProcessMonitor ?
Jak wspomniałem, jest to bardzo proste. Po uruchomieniu ProcessMonitor musimy stworzyć zestaw filtrów według którego będziemy szukać potrzebnych nam informacji.
Klikamy zatem na ikonkę (1) z rozwijanej listy (2) wybieramy Process Name, a następnie w polu (3) wpisujemy nazwę procesu, który nas interesuje. Ograniczy to ProcessMonitor do wyświetlania informacji do aplikacji która nas interesuje.
Następnie naciskamy na przycisk Add (4), pole (5) zmieniamy na Category, i z rozwijanej listy wybieramy Read (6).
Ponownie klikamy na przycisk Add i dodajemy w polu (6) Write aby uwzględnić zarówno wydarzenia odczytu jak i zapisu do plików. Po naciśnięciu na Apply/OK pozostało nam odznaczyć opcje Show Registry Activity, Show Network Activity oraz Show Process Activity aby wyświetlić jedynie potrzebne nam informacje:
Dla przykładu screenshot ze skanu aktywności mojego DosBox’a:
Możecie sobie zobaczyć, w co aktualnie gram 😉
ProcessMonitor to potężne narzędzie, dzięki któremu możecie uzyskać o wiele więcej informacji niż tylko jakie operacje na dysku przeprowadza wasz proces. Przy zastosowaniu odpowiednich filtrów możecie również “wyciągnąć” informacje jakie klucze w rejestrze modyfikuje podejrzana aplikacja, bądź też z jakimi adresami IP próbuje się połączyć.
Na dzisiaj to “tylko tyle”. Przepraszam za małą aktywność na tym blogu – jak ogarnę życie w offline, z pewnością wrócę do aktywnego rozwijania mojej pasji.