Procmon выводит на экран данные события в столбцах, которые можно настроить. Набор по умолчанию столбцов включает
■ Время суток. Время суток, когда событие имело место. Время показывает дробные секунды семи десятичным разрядам, но фактическое разрешение зависит от таймера процессора с высокой разрешающей способностью, точность которого является зависимой системой.
Прокмон получает время UTC, но выводит на экран его в часовом поясе компьютера, на котором оно представляется. Например, если журнал будет получен в 9:00 Восточное Время (UTC5), то время появится как 6:00, когда журнал будет просмотрен на системе, сконфигурированной для зоны Тихоокеанского времени.
■ Имя процесса. Имя процесса, выполняющего работу, наряду со значком от исполняемого файла процесса.
■ PID. ID процесса процесса.
■ Работа. Имя низкоуровневой зарегистрированной работы, наряду со значком, представляющим тип события (реестр, файловая система, сеть, процесс, или профилирующим).
|
|
■ Путь. Если применимый, путь объекта, управляемого на. Примеры путей включают: путь реестра, начинающийся с известного имени улья, путь файловой системы, начинающийся с имени диска или пути ПРОТОКОЛА INTERNET, или источника и целевых адресов сети и портов.
Отметьте, что на уровне Win32, HKEY_CLASSES_ROOT - объединенное представление HKLM\Software\Classes и HKCU\Software\Classes. Для путей реестра дисплей "HKCR" - синоним для HKLM\Software\Classes; когда часть в расчёте на пользователя HKCR
получается доступ, полный HKCU или путь HKU покажут. Кроме того, HKCU - синоним для улья HKEY_USERS выполнения учетной записи Procmon. Если Procmon будет работать в соответствии с различной учетной записью от процесса интереса, то тот процесс, получающий доступ к его HKCU, появится в дисплее как SID HKUVuser.
■ Результат. Результат работы. Общие коды результата включают УСПЕХ, ДОСТУП ЗАПРЕЩЕН, ИМЯ, НЕ НАЙДЕННОЕ, КОНЕЦ ФАЙЛА, и часто недооцененное БУФЕРНОЕ ПЕРЕПОЛНЕНИЕ. См. "Результат = БУФЕРНОЕ ПЕРЕПОЛНЕНИЕ" боковая панель для объяснения того мягкого, но страшно звучащего кода результата и Таблицы 4-2 для описаний других общих кодов результата.
■ Деталь. Дополнительная специфичная для работы информация о событии, таком как требуемый доступ, сначала открывая объект; размер данных, введите, и контент, читая значение реестра; или длина данных сети отправляет или получает. Некоторые операции файловой системы включают коды атрибута файла, которые перечисляются в Таблице 4-3.
С повышением основанных на Интернете атак термин "буферное переполнение" стал синонимичным с вредоносным программным обеспечением, берущим на себя несанкционированное управление над удаленным компьютером. В том контексте происходит буферное переполнение, когда программа копирует больше данных в буфер памяти, чем программа была разработана, чтобы разместить, приводя к перезаписи логики программы и выполнению кода выбора атакующего. Поэтому не удивительно, что новые пользователи Procmon становятся подававшими сигнал, когда они видят БУФЕРНОЕ ПЕРЕПОЛНЕНИЕ в столбце Result. Нет никакой потребности в беспокойстве, все же.
|
|
Требуемый объект - папка файловой системы.
Настройка Дис п лея Столбца.
Часто информация в столбце является слишком длинной, чтобы вывести на экран в пределах столбца. В этом случае можно переместить указатель мыши через запись, и полный текстовый контент того столбца появляется в подсказке. Можно изменить размеры столбцов, перетаскивая границы в заголовках столбца. Можно автоизмерить столбец к его контенту, дважды щелкая по границе направо от заголовка столбца. И можно переупорядочить столбцы, перетаскивая заголовки столбца.
Можно измениться, какие столбцы выводятся на экран, щелкая правой кнопкой по строке заголовка столбца и выбирая Избранные Столбцы, или выбирая Избранные Столбцы из меню опций. Как показано в рисунке 4-2, доступные столбцы группируются как Детали Приложения, Детали События, и Управление процессами.
Рис. 4-2. Диалоговое окно Выбора Столбца Монитора процесса.
Детали приложения включают статическую информацию, которая определяется при запуске процесса, и никогда не изменяйтесь для жизни процесса, такого как канал передачи изображения, командная строка, и архитектура.
Детали события включают информацию, которая является определенной для события. В дополнение к столбцам, которые появляются по умолчанию, вот некоторые другие детали события:
■ Порядковый номер. Основанный на нуле номер строки в пределах текущего дисплея.
■ Класс события. Это может быть Реестром, Файловой системой, Сетью, Процессом, или Профилированием.
■ Категория. Где применимый, категории работы Читаются, Запись, Метаданные Чтения, или Метаданные Записи.
■ Относительное Время. Время работы относительно времени запуска Прокмона или в прошлый раз, когда дисплей Procmon был очищен.
■ Продолжительность. Сколько времени работа взяла в секундах. Для событий Thread Profiling это - сумма ядра и пользовательское время, заряженное к потоку начиная с события Profiling предыдущего сообщения; для событий Process Profiling обнуляется это значение. См., что "Отображение Профилировать События" разделяет позже в этой главе для получения дополнительной информации.
Столбцы Process Management включают информацию о времени выполнения о процессе, таком как следующее:
■ Имя пользователя. Принципал безопасности, под которым выполняется процесс.
■ ID сеанса. Терминальный сеанс служб, в котором работает процесс. Службы, всегда выполняемые в сеансе 0. (См. "Сеансы, Станции Окна, Рабочие столы, и раздел" сообщений Окна Главы 2 для получения дополнительной информации.)
■ Целостность. Уровень целостности процесса, выполняющего работу (Windows Vista и более новый).
■ ID потока. ID потока, выполняющего работу; также известный как TID, который является, как это появляется в заголовке столбца.
■ Виртуализированный. Указывает, включается ли виртуализация UAC для процесса, выполняющего работу (Windows Vista и более новая). Отметьте, что это не связано с машинной виртуализацией или виртуализацией приложений.