【工具特点】
1:免除安装一些监控软件的麻烦,运行程序后自动在目录下记录日志,静默收集进程创建过程信息。
2:并非驱动级,不会造成客户机蓝屏等情况。
【工具功能及用途】
1:病毒运行情况探测,抓取最原始样本。时刻监视客户机程序启动情况。
2:弹出式广告查询,轻松抓取谁创建的窗口,谁弹出的IE。3:异常程序查询
【运行环境】Win7、Win2008 32/64位 下载地址:https://pan.baidu.com/s/1o6JXG62
【使用方法介绍】 程序可以通过开机命令直接调用,运行后有日志打印,日志名称默认为机器名+当前日期,路径默认为程序目录 程序运行后会首先将所有进程信息打印到日志内,避免后面监控进程创建时找不到父进程PID的情况。 每当有新进程创建,程序都会将进程的PID、名字、路径、父进程PID、父进程名称、父进程路径等信息打印到日志中 程序配套的还有一个config.ini配置文件,用来控制程序的拓展功能 -------------------------------------------------------------------------------------------------------------------- |[CFG] |匹配目录路径=\process\ ;匹配拷贝程序的路径特征,带有\process\路径的都拷贝 |日志存放路径= ;默认为空,空的话就是当前程序目录,支持共享路径 |文件存放路径= ;默认为空,空的话就是当前程序目录,支持共享路径 |是否拷贝=no ;默认为no,no就是不开启拷贝功能,如为yes则判断启动程序路径符合第一条匹配的目录就自动拷贝 |是否MD5计算=no ;默认为no,no就是不开启MD5计算功能,如为yes则启动的进程都会进行MD5计算并写入日志 |是否监控进程退出=no ;默认为no,no就是不开启程序退出监控,如为yes则监控当前所有程序退出情况并写入日志 |是否监控dll加载=no ;默认为no,no就是不开启dll加载监控,如为yes则监控程序启动时候的dll模块 |是否监控文件操作=no ;默认为no,no就是不开启文件操作监控,如为yes则监控指定路径的文件操作情况 |监控文件操作的路径=C:\ ;默认为C盘,该路径为配合文件监控操作的路径 ------------------------------------------------------------------------------------------------------------
|
