Etude d'un processus avec Process Monitor
Process Monitor est un outil de SysInternals, que l'on peut télécharger ici :
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspxIl permet d'étudier l'activité des processus en cours d'utilisation. Il est capable de montrer les actions sur le système de fichiers, mais aussi sur le registre ainsi que les éléments relatifs au réseau.
Nous allons ici étudier un processus particuliers,
Firefox.
1) Ouverture Lorsque vous lancez
Process Monitor, il commence par enregistrer les actions en cours de tous les processus. La capture montre les éléments sur le registre et le système de fichiers.
Dans le cadre de cette étude, une fois
Process Monitor lancé, nous avons exécuté
Firefox et nous avons navigué vers SX.
Vous pouvez utiliser
Process Monitor suivant deux modes :
- le premier est une analyse en live, c'est-à-dire que vous ne stoppez jamais la capture. Le principal avantage est que vous voyez passer toutes les actions. Par contre, cela rend l'analyse plus compliquée.
- Le second mode consiste en stopper la capture une fois les actions réalisées. Il a l'avantage d'être plus simple pour appréhender l'outil dans une première approche. C'est ce deuxième mode sur lequel nous allons travailler dans cette étude.
2) Configuration Une fois que nous avons réalisé toutes les actions voulues avec notre processus, nous stoppons la capture des actions en cliquant sur la touche (ou CTRL+E).
Nous isolons le processus que nous voulons étudier en générant un filtre. Pour cela, on fait un clique droit sur le processus voulu et on choisit
Include monprocess.exe.
La, l'outil va isoler le processus que nous venons de choisir dans l'interface. Cette opération peut être assez longue suivant la taille de la capture ainsi que la puissance de la machine.
3) Isolation d'action Nous allons ensuite isoler certaines actions spécifiques. Par exemple, nous allons choisir toutes les opérations d'écriture (que ce soit sur le système de fichiers ou dans la registre). Pour cela, nous allons créer un nouveau filtre.
Choisir "Filter"->"Filtrer" puis valider. Une nouvelle fenêtre va apparaître.
Sous "
Display entries matching these conditions", choisir les trois éléments suivants : "
Category" "
is" "
Write". Assurez-vous bien que le "
then" pointe sur "
Inlcude" Puis cliquer sur "
Add".
Cliquez sur "
Apply" pour valider vos changements
Voila, l'interface ne montre maintenant que les actions considérées comme des "
Write". Il ne vous reste plus qu'à analyser les écriture du processus.
