Process Monitor工具找網吧廣告
阿新 • • 發佈:2018-02-19
spa inf uci 圖片 一個 微軟 tab 允許 http
| 很多網吧經常有遇到有一些客戶機多了一些廣告或者是可能是有中毒的情況。Process Monitor 軟件可以方便的監視和記錄系統各程序的進程線程,註冊表,網絡,文件讀寫等活動。 1,開超級用戶,雙擊打開程序,把用戶許可允許了,否則開機的時候會要求許可。為了讓程序盡快的啟動,建議將程序添加到註冊表userinit 項中。  http://www.583go.com/article-1976-1.html 也可參考此鏈接,將Process Monitor開機啟動。 2,設置程序右上四個監視都打開,分別是註冊表,文件,網絡,進程線程。程序啟動後就會監視系統絕大部份操作了。簡單說一下,操作中 readfile 表示讀取文件,WriteFile表示寫入文件。  點擊工具欄如下圖標,可以查看進程樹,可以很清楚看到歷史上哪些進程屬於哪個父進程。註意這裏是歷史記錄也就是他消失了也能看到。所以還是有很有用。這裏顯示 我們的dbntcli.exe啟動了自身並啟動c_deskico.aex來處理桌面圖標擺放,並導入了一些用戶的註冊表。還啟動了 smss.exe 這個深藍防逃費程序。  3,這裏可以看我們的程序 DBNTclie.exe 給ser200這臺機子的 tcp端口 21983發送了消息,並接收了消息。tcp send(TCP發送) , TCP Receive (TCP接收),並寫入文件(Writefile) kdsm.exe 這個文件(從服務器ser200下載的)  4,因為消息太多,我們無法一一看完,所以我們選擇過濾圖標,打開過濾窗口,WriteFile 也就是只看寫入文件的日誌。  5,這下就只有寫入文件的日誌,一目了然。  6,可以看到explorer.exe 寫了 tldrdll.bat 文件,但我們並沒有操作,難道explorer.exe中毒了。  7,找到資源管理,雙擊process tab,有一個不明的dll註入 PKWSSNGT.dll  8,這個文件是哪的呢?返回主界面搜索,就可以找到是哪個程序釋放的了。 |
Process Monitor工具找網吧廣告