工具DebugViewPCHunterProcexpProcmon

Posted 2021-02-03 yapp

1、 DebugView

　　可以动态查看日志，可以捕获程序中由TRACE(debug版本)和OutputDebugString输出的信息。

　　

 

2、 PCHunter 系统信息查看工具

　　使用场景：

　    （1）查看一些隐藏进程，能结束一些procexp无法结束的进程，能暂停和恢复进程执行。

       （2）查看进程的窗口、模块、内存。

       （3）查看进程的线程，结束、暂停线程。

       （4）查看系统内的驱动，隐藏驱动，分类查看（比如查看某一厂商的所有过滤驱动）。

       （5）查看系统的钩子、手动卸载钩子，包括内核钩子、应用层钩子。

       （6）查看文件（查看隐藏文件）、查看文件锁定情况、强制删除文件。

 　　

 

3、 Procexp

　　1）树型结构

　　　　准确的显示的进程的父子关系（view--show process tree），通过颜色可以判断此进程处于的状态和类型（Options-Config Colors）：灰色-被挂起  亮黄-重定向dll  橙黄-工作进程  绿色-新创建  红色-被删除  紫色-自己的  小粉-系统服务的

　　2）显示进程的系统信息

　　　　右键单击标题栏-选择Select Columns项，选择你要观察进程的某种特定的信息，常用的有Process Image和Process Memory这两个选项卡

　　3）显示当前进程所加载的DLL

　　　　View--Show Lower Pane（Ctrl+L），查看DLL，判断进程是否被其他程序注入DLL，了解当前进程使用了哪些编程技术

　　　　View--Lower Pane View--DLLs，显示更多的内容，比如DLL基地址，DLL内存相关信息等

　　4）显示当前进程所占用的系统资源句柄

　　　　View-Lower Pane View 选择 Handlers，查看当前进程所占用的资源句柄表，分析进程的逻辑，检查程序是否有内核句柄泄露

　　5）操控进程以及显示进程的内部信息

　　　　选中进程，右键properties，挂起、重启、结束、恢复一个进程，或者结束当前进程树

　　　　可以查看进程信息（Properties）和当前进程的用户组信息，选择Environment选项卡，可以看到当前进程的环境变量

　　6）搜索功能（Ctrl+F）

 　　

 

4、 Procmon

　　启动Process monitor后，Process monitor会自动扫描分析系统当前程序的运行情况

　　1） 过滤规则（Ctrl+L），过滤显示内容

　　2） 最右侧提供了功能过滤区，注册表的读写，对文件的读写，网络的连接，线程和进程的调用，配置事件

　　3） 让Process Monitor随开机启动记录，在Options中选择Enable Boot Logging，重启电脑

　　4） 搜索查找（Ctrl+F）