2018-02-13
245
Можно сконфигурировать фильтры, основанные на любых атрибутах события, появляются ли данные в выведенном на экран столбце или нет. Можно искать точное совпадение значению, которое Вы определяете; частичные соответствия включая "начинаются", "концы с", или "содержит"; или "меньше чем" или "больше чем" сравнения. (См. "Понимание, что Значения по умолчанию Дисплея Столбца" разделяют ранее в этой главе для описаний атрибутов, которые можно использовать в фильтре.)
Самые простые фильтры, чтобы применяться являются фильтрами Класса События, представленными в этих пяти кнопках на правой стороне панели инструментов (показанный в рисунке 4-10), которые переключают дисплей реестра, файловой системы, сети, процесса/потока, и событий профилирования. Когда класс события переключается прочь, Исключить фильтр добавляется для того класса события, скрывая все события того типа.
Рис. 4-10. Класс события переключается на панели инструментов Procmon.
Другой легкий способ изменить фильтр с, Включают Процесс Из Окна. Эта функция позволяет Вам устанавливать фильтр на PID процесса, которому принадлежит определенное окно. Щелкните и содержите значок Crosshairs на панели инструментов, и затем перетащите это по окну, которым Вы интересуетесь. Procmon скрывает себя во время этой работы и тянет фрейм вокруг окна, курсор закончен. Отпустите кнопку мыши, и Procmon вновь появляется с PID процесса, которому принадлежит окно, добавленное к фильтру.
Полный спектр фильтрации опций может быть замечен в диалоговом окне Фильтра Монитора Процесса (показанный в рисунке 4-11), нажимая Ctrl+L или щелкая по значку Filter на панели инструментов. Вы заметите, что фильтр по умолчанию уже имеет, много Исключают правила. Они будут обсуждены позже в "Усовершенствованном Выводе" раздел.
Чтобы добавить правило фильтра, выберите атрибут из первого выпадающего списка, типа теста, чтобы выполнить во втором выпадающем списке, и значении, чтобы сравниться с в третьем выпадающем поле комбинированного списка. Все текстовые сравнения нечувствительны к регистру. Когда Вы выберете атрибут в первом списке, третье выпадающее поле комбинированного списка будет предварительно заполнено со всеми значениями, замеченными в текущем наборе данных. Например, когда Вы выбираете Имя Процесса, третье выпадающее поле комбинированного списка будет предварительно заполнено со всеми именами процесса, которые генерировали события. (Procmon не делает этого для атрибутов, таких как Путь, у которого может быть очень большое количество отличных значений.) Можно также отредактировать значение в этом, раскрывают поле комбинированного списка непосредственно. Выберите, включать ли соответствие событий или исключить их из дисплея с четвертым выпадающим списком в верхнем ряду. Нажмите кнопку Add, чтобы добавить новые критерии фильтра к существующему фильтру. Когда Вы делаетесь, изменяя список фильтра, нажимаете OK или Применяетесь.
Чтобы отредактировать или удалить правило из фильтра, дважды щелкните по этому или выберите это и нажмите кнопку Remove. Это будет удалено из списка и скопировано в редактирующие правило выпадающие меню так, чтобы можно было легко отредактировать это и повторно добавить это к списку. Можно отключить отдельное правило, постоянно не удаляя это, снимая его флажок. Чтобы включить правилу снова, просто установите его флажок снова и нажмите OK или Применяйтесь.
Чтобы сбросить фильтр к настройкам по умолчанию, щелкните по Кнопке сброса в диалоговом окне Фильтра. Можно сбросить фильтр из главного окна Procmon, нажимая Ctrl + R.
Рис. 4-11. Диалоговое окно Фильтра Монитора процесса.
Procmon ORs вместе весь фильтр управляет для определенного атрибута и фильтров ANDs для различных атрибутов. Например, если Вы определяете, что Имя Процесса "включает" фильтры для Блокнота. exe и Cmd.exe, и Путь "включают" фильтр для C:\Windows, Procmon выводит на экран только события, включающие C:\Windows, который произошел из Блокнота или Командной строки. Это не показывает никакие другие события, включающие другие пути или другие процессы.
Другой мощный способ добавить критерии фильтра, щелкая правой кнопкой по событию и выбирая критерии из контекстного меню. Рисунок 4-12 показывает только контекстное меню из рисунка 4-8 и иллюстрирует доступные варианты.
Во-первых, контекстное меню предлагает записи быстрого фильтра для значения, по которому Вы щелкаете. Например, четвертые и пятые элементы на шоу рисунка 4-12 Включают и Исключают быстрые фильтры для "HKCR\.exe\OpenWithProgids" пути реестра. Опция Exclude Events Before скрывает все события, предшествующие выбранному, добавляя правило, основанное на атрибуте Даты & Времени события; точно так же Исключите События После того, как скрывает все события после выбранного. Наконец, подменю Include и Exclude (вторые и третьи элементы от нижней части) перечисляют большинство доступных атрибутов фильтра. Выберите название атрибута в одном из этих подменю, и соответствующее значение от выбранного события будет добавлено к фильтру. Можно также добавить фильтр, основанный на наборе значений от многократных событий одновременно: выберите события, щелкните правой кнопкой, и выберите название атрибута из подменю Include или Exclude. Выполнение этого конфигурирует фильтр для всех уникальных значений, содержавшихся в выбранных событиях.
Рис. 4-12. Деталь контекстного меню из рисунка 4-8.
Эти различные методы для того, чтобы сконфигурировать фильтр могут быть объединены. Скажем, Вы видите, что процессы получают доступ к регистрационным ключам в и под HKCR\CLSID \{DFEAF541-F3E1-4C24-ACAC-99C30715084A}, и Вы хотите фильтровать на том действии. Это призывает к Начинанию С фильтра на том пути. Один способ добраться там без большого ввода или копии и вставки состоит в том, чтобы найти событие с тем ключом, щелкнуть правой кнопкой, и выбирать Включают 'HKCR\CLSID \{DFEAF541-F3E1-4C24-ACAC-99C30715084A}'. Это устанавливает Путь, фильтр. Нажмите Ctrl + L, чтобы открыть диалоговое окно Фильтра, дважды щелкнуть по новым критериям, чтобы переместить это от списка до редактирующих правило выпадающих меню, изменение к, "начинается," отредактируйте путь если нужно, щелкните по Add, и затем нажмите OK.
Диалоговые окна Дерева и Сводки Процесса, обсужденные позже в этой главе, также предлагают механизмы для того, чтобы изменить текущий фильтр.
Прокмон помнит новый фильтр, который Вы устанавливаете. В следующий раз Вы запускаете Procmon после того, как Вы установили фильтр, Procmon выведет на экран диалоговое окно Фильтра перед получением начального события. Это дает Вам возможность сохранить, отредактировать, или сбросить фильтр прежде, чем получить данные. Можно обойти этот шаг, выполняя Procmon с / Тихий параметр командной строки. Можно автоматически очистить фильтр при запуске с /NoFilter параметром командной строки. См. "Автоматизацию Procmon: параметры командной строки" разделяют позже в этой главе для получения дополнительной информации.
