1. windows server 2003启动时会运行很多服务和程序,用什么工具可以监视和消除这些服
运行 msconfig 那里面有开启了服务列表
还有一个就是services.msc
2. 如何通过HOOK方式来实现监控进程启动
程序X为一款不确定的内存修改软件
程序A为 被X修改的程序
程序B为 防止被X修改的程序
类似杀毒软件的监衡茄伍控,但我没思路具体该怎么写。
谁能给个思路。有具体代码最好。
我现在的方法是 监视程序的启动,一旦启动把自己的dll hook进去 并拦截WriteProcessMemory API
当任何程序对A进行内存修改的时候咐或 在B程纳岩序中反映出来!
谢谢,详细点
3. 有没有什么软件可以监视某一个制定程序运行后,系统有哪些文件被修改过
计算机故障分为软件故障和硬件故障
软件故障的原因
软件发生故障的原因有几个,丢失文件、文件版本不匹配、内存冲突、内存耗尽,具体的情况不同,也许只因为运行了一个特定的软件,也许很严重举旦,类似于一个的系统级故障。
为了避免这种错误的出现,我们可以仔细研究一下每种正培扰情况发生的原因,看看怎样检测和避免。
丢失文件:
你每次启动计算机和运行程序的时候,都会牵扯到上百个文件,绝大多数文件是一些虚拟驱动程序virtual?device?drivers?(VxD),和应用程序非常依赖的动态链接库dynamic?link?library?(DLL)。VXD允许多个应用程序同时访问同一个硬件并保证不会引起冲突,DLL则是一些独立于程序、单独以文件形式保存的可执行子程序,它们只有在需要的时候才会调入内存,可以更有效地使用内存。当这两类文件被删除或者损坏了,依赖于它们的设备和文件就不能正常工作。
要检测一个丢失的启动文件,可以在启动PC的时候观察屏幕,丢失的文件会显示一个“不能找到某个设备文件”的信息和该文件的文件名、位置,你会被要求按键继续启动进程。
造成类似这种启动错误中樱信息的绝大多数原因是没有正确使用卸载软件。如果你有一个在WINDOWS启动后自动运行的程序如Norton?Utilities、?Nuts?and?Bolts等,你希望卸载它们,应该使用程序自带的“卸载”选项,一般在“开始”菜单的“程序”文件夹中该文件的选项里会有,或者使用“控制面板”的“添加/卸载”选项。如果你直接删除了这个文件夹,在下次启动后就可能会出现上面的错误提示。其原因是WINDOWS找不到相应的文件来匹配启动命令,而这个命令实际上是在软件第一次安装时就已经置入到注册表中了。你可能需要重新安装这个软件,也许丢失的文件没有备份,但是至少你知道了是什么文件受到影响和它们来自哪里。
对文件夹和文件重新命名也会出现问题,在软件安装前就应该决定好这个新文件所在文件夹的名字。
如果你删除或者重命名了一个在“开始”菜单中运行的文件夹或者文件,你会得到另外一个错误信息,在屏幕上会出现一个对话框,提示“无效的启动程序”并显示文件名,但是没有文件的位置。如果桌面或者“开始”菜单中的快捷键指向了一个被删除的文件和文件夹,你会得到一个类似的“丢失快捷键”的提示。
丢失的文件可能被保存在一个单独的文件中,或是在被几个出品厂家相同的应用程序共享的文件夹中,例如文件夹\SYMANTEC就被Norton?Utilities、Norton?Antivirus和其他一些?Symantec?出品的软件共享,而对于\WINDOWS\SYSTEM来说,其中的文件被所有的程序共享。你最好搜索原来的光盘和软盘,重新安装被损坏的程序。
文件版本不匹配:
绝大多数的WIN?9X用户都会不时地向系统中安装各种不同的软件,包括WINDOWS的各种补丁例如Y2K,或者将WIN?95?升级到WIN?98,这其中的每一步操作都需要向系统拷贝新文件或者更换现存的文件。每当这个时候,就可能出现新软件不能与现存软件兼容的问题。
因为在安装新软件和WINDOWS升级的时候,拷贝到系统中的大多是DLL文件,而DLL不能与现存软件“合作”是产生大多数非法操作的主要原因,即使会快速关闭被影响的程序,你也没有额外的时间来保存尚未完成的工作。
WINDOWS的基本设计使得上述DLL错误频频发生。和其他版本不同,WIN?95允许多个文件共享\WINDOWS\SYSTEM文件夹的所有文件,例如可以有多个文件使用同一个Whatnot.dll,而不幸的是,同一个DLL文件的不同版本可能分别支持不同的软件,很多软件都坚持安装适合它自己的Whatnot.dll版本来代替以前的,但是新版本一定可以和其他软件“合作愉快”吗?如果你运行了一个需要原来版本的DLL的程序,就会出现“非法操作”的提示。?
在安装新软件之前,先备份\WINDOWS\SYSTEM?文件夹的内容,可以将DLL错误出现的几率降低,既然大多数DLL错误发生的原因在此,保证DLL运行安全是必要的。而绝大多数新软件在安装时也会观察现存的DLL,如果需要置换新的,会给出提示,一般可以保留新版,标明文件名,以免出现问题。
绝大多数卸载软件也可以用来监视安装,这些监视记录可以保证在以后的卸载时更加准确,另外你也可以知道哪些文件被修改了,如果提供备份功能,可以保存旧版本的文件和安装过程中被置换的文件。?
WIN?98和WIN?95有所不同,它在将WINDOWS升级和安装新软件时自动备份被置换的文件,如果在WIN98安装后出现问题,你可以使用Version?Conflict?Manager(VCM)帮助你发现哪些文件被改变了,可以从WIN?98的备份中将原来的版本恢复出来,而VCM可以从“开始”菜单、附件、系统工具或者安装WIN?98的光盘中寻找。
另一个避免出现DLL引起的非法操作的办法是不同时运行不同版本的同一个软件,即使你为新版本软件准备了另一个新文件夹,如果你一定要同时使用两个版本,就会出现非法错误信息。
非法操作:
非法操作会让很多用户觉得很迷惑,如果你仔细研究的话会就发现软件才是真凶,每当有非法操作信息出现,相关的程序和文件都会和错误类型显示在一起,如果在WINDOWS?3.1中可能是一般保护性错误(GPF),一般是由于有两个软件同时使用了内存的同一个区域,但是即使知道原因也无法避免这一类错误。
用户可以通过错误信息列出的程序和文件来研究错误起因,因为错误信息并不直接指出实际原因,如果给出的是“未知”信息,可能数据文件已经损坏,看看有没有备份或者看看厂家是否有文件修补工具。
如果是Microsoft的软件,你可以将程序名和错误信息作为关键字在Microsoft的站点进行搜索。例如我们到微软的基本知识站点 http://support.microsoft.com/search中输入“WORD97的非法操作输入”,可以找到50多个文档,说明可能产生的原因。也可以将文件名、错误操作和比较准确的原因做为关键字进行输入,例如搜寻WORD?97、非法操作和kernel32.dll三项,就只会返回9条信息。
从微软的站点返回的信息大约是DLL错误、软件的BUG、在低端RAM运行或者是磁盘空间等问题,具体的弥补方法会因为问题的不同而有所区别,例如下载并安装软件的补丁、卸载并重新安装特定的程序,或者不能同时运行某些程序等。
蓝屏
错误信息:
要确定出现蓝屏的原因需要仔细检查错误信息,很多蓝屏发生在安装了新软件以后,是新软件和现行的WINDOWS设置发生冲突直接引起的。
出现蓝屏的真正原因不容易搞清楚,最好的办法是把错误信息保留下来,然后用“blue?screen”和文件名、“fatal?exception”代码到微软的站点搜索,以便确定原因。不幸的是,即使一个特定的软件被破坏,蓝屏也不能确定引起问题的文件是什么,如果在蓝屏上显示了多个信息,那么首先应该搜索第一条。
很多蓝屏可以用改变WINDOWS设置来解决,大多数情况下需要下载安装一个更新的驱动程序,一些蓝屏与版本有关,应该确定你使用的WINDOWS版本,查看WIN?9X的设备管理程序可以确定这些信息。
资源耗尽:
经常有人会问,既然有了更多的内存,是不是可以运行更多程序,大多数用户对此限制有些模糊。
一些Windows程序需要消耗各种不同的资源组合,GDI(图形界面)集中了大量的资源,这些资源用来保存菜单按钮、面板对象、调色板等等;第二个积累较多的资源则是USER(用户),用来保存菜单和窗口的信息,第三个是SYSTEM(系统资源),是一些通用的资源。
这些资源在win3.x中受到的限制是很大的,在不发生GPE(一般保护性错误)和其他错误导致的资源耗尽的情况下只允许几个为数不多的程序同时运行。WIN?9X由于限制放宽了许多,所以可以有很多程序同时运行,而WIN?NT才是唯一的对绝大多数资源完全不加以限制的微软的操作系统。
在程序打开和关闭之间都会消耗资源,一些在程序打开时被占用的资源在程序关闭时可以被恢复,但并不都是这样,一些程序在运行时可能导致GDI和USER资源丧失,这也就是为什么在机器运行一段时间以后最好重新启动一次补充资源的原因。
决大多数用户希望在出现非法操作或者蓝屏之前能够被提示资源占用严重的情况,WINDOWS带有一个资源测量仪(打开“开始”菜单,选择程序、附件、系统工具)可以放置在工具栏上实时显示关于GDI、USER和一些系统资源的占用情况。
防止软件故障的五个注意事项:
在安装一个新软件之前,考察一下它与你的系统的兼容性;
在安装一个新的程序之前需要保护已经存在的被共享使用的DLL文件,防止在安装新文件时被其他文件覆盖;
在出现非法操作和蓝屏的时候仔细研究提示信息分析原因;
随时监察系统资源的占用情况;?使用卸载软件删除已安装的程序。
4. 关于监控一个指定的exe程序
看你的意思,主要是不想让程序A被修改,那么以下情况给你参考拦卜吧:
1、在当前的win中,程序A被系统加载并运行后,会有一部分基本上是固定不变的,这主要是代码区,还有一部分是根据需要不停地变的,这是变量区,及其它缓冲区。
2、如果你想的是让代码区不被改动,这个要求很容易达到,因为它是固定的,你只要把这个区域的数据时行一下MD5码的计算,或是使用更快速的某种方法进行一次校验便可。但是基本上你要进行一次完全校验,占用的时间一定是不短的(简模穗至少1秒以上),这种做法能保护程序的应有功能不被乱改,但不能保证变量不变乱改。此外相当的低效,很少有人这么做。
3、监视程序的启动,一旦启动把自己的dll hook进去 并拦截teProcessMemory API 看起来是有理的,但存在这样几个问题,首先这种程序一定需要管理员权下才能正常运行,其次,程序X可不可以先对付程序B,再对付程序A呢? 另外,程序B一但起动,某些正常的程序也可能受影响,比如金山快译等。
4、最常见的做法是针对程序X的行为对关键部分的代码进行监控,这样监控的范围就能大大地减少,可以达到0.01秒内完成任务,使用户不会感觉到什么,但这样做的前提是知道程序X的行为具体是什么。
5、其它的通用的做法是针对程序X的特点在内存现运行的程序中进行查找,一但发现进行处理。
6、以上两个方法是最常用的做法。
7、破解与反破解始终是一对死冤家,在当前来说,似乎没有码迹好的解决方法,只能说设法让破解的难度加大!
PS:“程序运行后如何md5效验,这不开玩笑吗?”不是开玩笑,MD5码校验并不专指对一个未运行的文件,MD5码校验是一种算法。将内存中的数据抓出来进行MD5码计算也并不是不可以的,当然,上面说过了,这种计算对机器要求过高,在实时运行中是不科学的,也是不可取的。
5. 监控某个软件的所有操作
通过微软的ProcessMonitor可以监控软件
Process Monitor是来自微软官方的一款高级监视工具,可以实时监控、报告Windows文件系统、注册表、进程、线程的活动。
从界面上看,Process Monitor很像是被微软收购了的Sysinternals的Filemon和Regmon,但事实上它是完全重写的,并在Filemon和Regmon的基础上进行了增强,比如监视进程线程的启动和退出及其载入的DLL文件和内核驱动程序、丰富的非破坏性过滤、会话ID和用户名等大量的岩做事件属性、可靠的进程信息、全面的线程堆册枣链栈、同步记录到日志文件、分析进程关系、州孙可删除性搜索等等。
这些特性令Process Monitor成为一款强有力的系统诊断以及恶意软件捕捉工具。
Process Monitor支持Windows 2000/XP/Server 2003/Vista等系统,包括64-bit版本。
下载地址:http://download.sysinternals.com/Files/ProcessMonitor.zip
使用教程和介绍:http://tech.163.com/digi/08/0627/10/4FEGR6HL00162OUT.html
http://technet.microsoft.com/zh-cn/sysinternals/bb896645(en-us).aspx
6. 系统小技巧:跟踪监视系统或文件的细微变化
当软件安装修改了系统设置,或当病毒侵入系统体内时,就会造成文件的增删或内容的变化。为了深入了解和掌握系统文件或用户文件的变化情况,我们有必要跟踪和监视系统设置或文件的变化情况。
我们知道,病毒防护软件不是万能的,它们往往或多或少地带有一定的滞后性,杀毒软件对有的病毒可能无法做到实时预防。这样,自己动手监视系统或文件夹中文件的变化情况,也不失为一个预防的好方法。自己动手监视软件对系统或文件的修改,其思路是在系统稳定的情况下保存系统配置的快照,然后将其与当前系统的快照进行比较,从而查看软件对系统所做的修改。但遗憾的是,即便是最先进的Windows 10,系统自身并未提供这样的快照工具,我们需要另想办法。
1. 用微软工具监视系统变化
我们首先可以使用微软发布的应用程序Windows System State Monitor,来监视系统的变化情况。该程序可以监视的系统区域包括文件系统、注册表、服务和驱动程序等。安装时,根据不同的系统架构选择32位或64位版的应用程序,执行自定义安装,可看到包含Windows System State Analyzer和Windows System State Monitor两个选项,需都选上。安装结束后,在桌面上会生成4个图标。
如果要监视Windows系统的状态,用Windows System State Monitor模块。运行之后显示当前计算机名称、用户名称、操作系统类型和当前日期。在下方的列表中,可选择文件系统(File system)、注册表(Registry)、服务(Services)、驱动程序(Drivers)等项目,选好之后点击Start monitoring按钮开始系统监视。
监视操作开始后,将该软件窗口最小化,然后执行自己需要的任务;任务执行完毕后,按下Stop Monitoring按钮停止监视。最后,按下Create Report按钮,指定报告生成的位置,就会自动生成含有各种注册表分支增删改情况的log文件、一份DriversAndServices.html报告文件和一份TestResult.html报告文件。其中DriversAndServices.html报告文件记录驱动和服务的变化情况,TestResult.html报告文件记录文件系统的详细变化情况。这些报告文件存放在一个以当前日期和时间命名的文件夹中。
小提示:
上述监视会跟踪记录系统的每一处更改。如果只需要对系统特定项目的更改加以监视,关注其中单个任务的变化情况即可。
如果需要比较两个不同时点的系统快照,运行Windows System State Analyzer模块。启动软件后可看到两个选项卡,其中Snapshot为快照拍摄,分左右两栏,按下Start按钮可分别拍摄两个不同时点的快照。
在默认的比较项目中,包含所有驱动器、注册表分支、服务、驱动等选项,生成一份这样的完整快照需要很长时间。因此,除非要比较整个系统项目情况的变化,否则不要急于按下Start按钮生成快照。可先执行“Tools→Options”命令,进入选项设置窗口,通过Add或Remove按钮,定制比较所需要包含的项目信息。然后返回到软件主窗口,通过Snapshot name下拉列表按情况类别指定快照的名称,最后再生成快照。
不同时点的两份快照生成完毕后,点击Quick comparison选项卡,查看两个快照的不同之处。
小提示:
虽然生成完整的系统快照需要很长时间,但为了监视系统的变化情况,有必要在系统比较稳定时生成一份完整的快照,保存为BIN文件,以便在需要时进行加载并和当前生成的BIN快照文件加以比较。
2. 用第三方工具监视系统变化
除了用上述微软工具来监视系统的变化外,我们还可以选择第三方工具完成对系统或文件夹情况变化的监视。
如果希望能更容易地监视系统各区域的变化情况,可使用WinPatrol软件,它可以让我们有目标地着眼于系统启动程序、延迟启动、计划任务、服务、活动任务、Cookies、文件类型、隐藏文件、最近访问内容、系统注册表等方面的变化。
若要监视某个文件夹中文件的变化情况,可使用FolderChangesView软件。该软件可选择监控包括子文件夹在内的文件变化情况,可进行文件排除设置,可设置要监控的文件大小范围,可按通配符以命令行的方式过滤要监控的文件,还可以设置当文件发生变化时以声音提醒等。此外,还可以指定每隔一定时间就将文件的变化输出到一个报告文件当中,报告文件有多种格式可选。
7. forticlient 监视自动启动程序是什么意思
FortiClient1.2是新一代个人电脑安全防护平台,拥有防病毒、防火墙、等强大的功能。尤其适合个人用户和远程办公。带有独特的注册表监视器,可以避免注册表被恶意程序修改。这款套件使您远离病毒、黑客、恶意攻击、不良网站,是您的个人电脑的安全卫士。
一悉行孙般这种程序都是需要自动启动来达到保护你电脑的安全,所以不是被别人监带蚂视睁链,而是防止被别人监视。
8. process explorer和process monitor有什么不同
您好,很高兴为您解答。
Process Monitor是一款系统进程监视软冲敏件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。
PROCESS EXPLORER是由Sysinternals开发的Windows系统和应用程序监视工具,目前已并入微软旗下。御判迟不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进镇李程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。
如若满意,请点击右侧【采纳答案】,如若还有问题,请点击【追问】
希望我的回答对您有所帮助,望采纳!
~ O(∩_∩)O~
9. 有能打开一程序自动监视它从启动到结束的所有进程对注册表和文件系统的改变的软件吗
我说的就是任意软件。历族物以前的regmon和filemon能分别监控到注册表和文件的访问(具体穗野内容是不能记录的,它只能检测到软件读了什么注册表或者文件或者修改了肢液哪些)