本文作者:Hy221

10.29更新广告木马追踪新神器系统服务级的ProcessMonitor

Hy221 2年前 ( 2017-10-29 ) 3931 抢沙发

ProcessMonitor界面

本工具由死性不改论坛网友"Bluefish"修改分享,方便网吧抓取分析广告与恶意进程.

使用说明

1. 无盘服务器上挂盘,将“ProcessMonitorService”整个文件夹复制到挂载的盘符中任意文件夹内,执行“挂盘安装器”进行安装或卸载。安装后将创建一个名为PMS的系统服务,用于在开机后立即启动ProcessMonitor在后台(无界面静默)进行系统动作抓取,并保存ProcessMonitor的记录文件,保存的记录文件(*.pml)可随时随地用ProcessMonitor打开查看,日志路径支持共享路径,文件名支持以计算机名命名,详细配置请修改配置文件config.ini.

2.捕获到了日志文件如何使用?找一个有ProcessMonitor程序的电脑上,打开日志文件(*.pml)即可,请注意灵活使用过滤器,因为日志内容可能非常庞当。

更新日志

2017-10-29 更新,修复了挂盘安装时,服务路径不正确的问题,修复了无法卸载的问题。 

2017-10-22 更新,新增了挂盘安装器,免去开超管安装的烦恼。

本软亮点

- 基于系统服务启动,能在所有应用层恶意软件启动之前开始捕获并记录日志

- 后台静默隐藏记录,不干扰网吧顾客上网

- 支持定时自动退出,支持自定义日志文件位置和名称

为什么用服务抓取?

平时使用ProcessMonitor的方法是直接打开,或加到开机通道、或注册表启动项,这样做的话,当ProcessMonitor开始运行抓取时,大多数恶意程序已经运行了或已经干完它的事了,所以必须以系统服务的形式来启动ProcessMonitor,这样可最快、最准确、最完整的捕获系统中的进程行为,帮助我们快速精准定位广告、木马来源。

下载

文件下载
资源名称:木马追踪新神器系统服务级的ProcessMonitor文件大小:1MB


文章版权及转载声明:

作者:Hy221本文地址:https://www.imf8.cn/post/359.html发布于 2年前 ( 2017-10-29 )
文章转载或复制请以超链接形式并注明出处爱免费吧

分享到:
赞(0

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (暂无评论,3931人围观)参与讨论

还没有评论,来说两句吧...