Auteur Sujet: Process Monitor : étude d'un processus  (Lu 4795 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10266
Process Monitor : étude d'un processus
« le: décembre 26, 2013, 18:30:15 »
Etude d'un processus avec Process Monitor

Process Monitor est un outil de SysInternals, que l'on peut télécharger ici : http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Il permet d'étudier l'activité des processus en cours d'utilisation. Il est capable de montrer les actions sur le système de fichiers, mais aussi sur le registre ainsi que les éléments relatifs au réseau.

Nous allons ici étudier un processus particuliers, Firefox.


1) Ouverture


Lorsque vous lancez Process Monitor, il commence par enregistrer les actions en cours de tous les processus. La capture montre les éléments sur le registre et le système de fichiers.




Dans le cadre de cette étude, une fois Process Monitor lancé, nous avons exécuté Firefox et nous avons navigué vers SX.



Vous pouvez utiliser Process Monitor suivant deux modes :

  • le premier est une analyse en live, c'est-à-dire que vous ne stoppez jamais la capture. Le principal avantage est que vous voyez passer toutes les actions. Par contre, cela rend l'analyse plus compliquée.
  • Le second mode consiste en stopper la capture une fois les actions réalisées. Il a l'avantage d'être plus simple pour appréhender l'outil dans une première approche. C'est ce deuxième mode sur lequel nous allons travailler dans cette étude.



2) Configuration 


Une fois que nous avons réalisé toutes les actions voulues avec notre processus, nous stoppons la capture des actions en cliquant sur la touche (ou CTRL+E).




Nous isolons le processus que nous voulons étudier en générant un filtre. Pour cela, on fait un clique droit sur le processus voulu et on choisit Include monprocess.exe.



La, l'outil va isoler le processus que nous venons de choisir dans l'interface. Cette opération peut être assez longue suivant la taille de la capture ainsi que la puissance de la machine.





3) Isolation d'action 


Nous allons ensuite isoler certaines actions spécifiques. Par exemple, nous allons choisir toutes les opérations d'écriture (que ce soit sur le système de fichiers ou dans la registre). Pour cela, nous allons créer un nouveau filtre.

Choisir "Filter"->"Filtrer" puis valider. Une nouvelle fenêtre va apparaître.




Sous "Display entries matching these conditions", choisir les trois éléments suivants :  "Category" "is" "Write". Assurez-vous bien que le "then" pointe sur "Inlcude" Puis cliquer sur "Add".




Cliquez sur "Apply" pour valider vos changements





Voila, l'interface ne montre maintenant que les actions considérées comme des "Write". Il ne vous reste plus qu'à analyser les écriture du processus.



Security-X

Process Monitor : étude d'un processus
« le: décembre 26, 2013, 18:30:15 »