1. windows server 2003啟動時會運行很多服務和程序,用什麼工具可以監視和消除這些服
運行 msconfig 那裡面有開啟了服務列表
還有一個就是services.msc
2. 如何通過HOOK方式來實現監控進程啟動
程序X為一款不確定的內存修改軟體
程序A為 被X修改的程序
程序B為 防止被X修改的程序
類似殺毒軟體的監衡茄伍控,但我沒思路具體該怎麼寫。
誰能給個思路。有具體代碼最好。
我現在的方法是 監視程序的啟動,一旦啟動把自己的dll hook進去 並攔截WriteProcessMemory API
當任何程序對A進行內存修改的時候咐或 在B程納岩序中反映出來!
謝謝,詳細點
3. 有沒有什麼軟體可以監視某一個制定程序運行後,系統有哪些文件被修改過
計算機故障分為軟體故障和硬體故障
軟體故障的原因
軟體發生故障的原因有幾個,丟失文件、文件版本不匹配、內存沖突、內存耗盡,具體的情況不同,也許只因為運行了一個特定的軟體,也許很嚴重舉旦,類似於一個的系統級故障。
為了避免這種錯誤的出現,我們可以仔細研究一下每種正培擾情況發生的原因,看看怎樣檢測和避免。
丟失文件:
你每次啟動計算機和運行程序的時候,都會牽扯到上百個文件,絕大多數文件是一些虛擬驅動程序virtual?device?drivers?(VxD),和應用程序非常依賴的動態鏈接庫dynamic?link?library?(DLL)。VXD允許多個應用程序同時訪問同一個硬體並保證不會引起沖突,DLL則是一些獨立於程序、單獨以文件形式保存的可執行子程序,它們只有在需要的時候才會調入內存,可以更有效地使用內存。當這兩類文件被刪除或者損壞了,依賴於它們的設備和文件就不能正常工作。
要檢測一個丟失的啟動文件,可以在啟動PC的時候觀察屏幕,丟失的文件會顯示一個「不能找到某個設備文件」的信息和該文件的文件名、位置,你會被要求按鍵繼續啟動進程。
造成類似這種啟動錯誤中櫻信息的絕大多數原因是沒有正確使用卸載軟體。如果你有一個在WINDOWS啟動後自動運行的程序如Norton?Utilities、?Nuts?and?Bolts等,你希望卸載它們,應該使用程序自帶的「卸載」選項,一般在「開始」菜單的「程序」文件夾中該文件的選項里會有,或者使用「控制面板」的「添加/卸載」選項。如果你直接刪除了這個文件夾,在下次啟動後就可能會出現上面的錯誤提示。其原因是WINDOWS找不到相應的文件來匹配啟動命令,而這個命令實際上是在軟體第一次安裝時就已經置入到注冊表中了。你可能需要重新安裝這個軟體,也許丟失的文件沒有備份,但是至少你知道了是什麼文件受到影響和它們來自哪裡。
對文件夾和文件重新命名也會出現問題,在軟體安裝前就應該決定好這個新文件所在文件夾的名字。
如果你刪除或者重命名了一個在「開始」菜單中運行的文件夾或者文件,你會得到另外一個錯誤信息,在屏幕上會出現一個對話框,提示「無效的啟動程序」並顯示文件名,但是沒有文件的位置。如果桌面或者「開始」菜單中的快捷鍵指向了一個被刪除的文件和文件夾,你會得到一個類似的「丟失快捷鍵」的提示。
丟失的文件可能被保存在一個單獨的文件中,或是在被幾個出品廠家相同的應用程序共享的文件夾中,例如文件夾\SYMANTEC就被Norton?Utilities、Norton?Antivirus和其他一些?Symantec?出品的軟體共享,而對於\WINDOWS\SYSTEM來說,其中的文件被所有的程序共享。你最好搜索原來的光碟和軟盤,重新安裝被損壞的程序。
文件版本不匹配:
絕大多數的WIN?9X用戶都會不時地向系統中安裝各種不同的軟體,包括WINDOWS的各種補丁例如Y2K,或者將WIN?95?升級到WIN?98,這其中的每一步操作都需要向系統拷貝新文件或者更換現存的文件。每當這個時候,就可能出現新軟體不能與現存軟體兼容的問題。
因為在安裝新軟體和WINDOWS升級的時候,拷貝到系統中的大多是DLL文件,而DLL不能與現存軟體「合作」是產生大多數非法操作的主要原因,即使會快速關閉被影響的程序,你也沒有額外的時間來保存尚未完成的工作。
WINDOWS的基本設計使得上述DLL錯誤頻頻發生。和其他版本不同,WIN?95允許多個文件共享\WINDOWS\SYSTEM文件夾的所有文件,例如可以有多個文件使用同一個Whatnot.dll,而不幸的是,同一個DLL文件的不同版本可能分別支持不同的軟體,很多軟體都堅持安裝適合它自己的Whatnot.dll版本來代替以前的,但是新版本一定可以和其他軟體「合作愉快」嗎?如果你運行了一個需要原來版本的DLL的程序,就會出現「非法操作」的提示。?
在安裝新軟體之前,先備份\WINDOWS\SYSTEM?文件夾的內容,可以將DLL錯誤出現的幾率降低,既然大多數DLL錯誤發生的原因在此,保證DLL運行安全是必要的。而絕大多數新軟體在安裝時也會觀察現存的DLL,如果需要置換新的,會給出提示,一般可以保留新版,標明文件名,以免出現問題。
絕大多數卸載軟體也可以用來監視安裝,這些監視記錄可以保證在以後的卸載時更加准確,另外你也可以知道哪些文件被修改了,如果提供備份功能,可以保存舊版本的文件和安裝過程中被置換的文件。?
WIN?98和WIN?95有所不同,它在將WINDOWS升級和安裝新軟體時自動備份被置換的文件,如果在WIN98安裝後出現問題,你可以使用Version?Conflict?Manager(VCM)幫助你發現哪些文件被改變了,可以從WIN?98的備份中將原來的版本恢復出來,而VCM可以從「開始」菜單、附件、系統工具或者安裝WIN?98的光碟中尋找。
另一個避免出現DLL引起的非法操作的辦法是不同時運行不同版本的同一個軟體,即使你為新版本軟體准備了另一個新文件夾,如果你一定要同時使用兩個版本,就會出現非法錯誤信息。
非法操作:
非法操作會讓很多用戶覺得很迷惑,如果你仔細研究的話會就發現軟體才是真凶,每當有非法操作信息出現,相關的程序和文件都會和錯誤類型顯示在一起,如果在WINDOWS?3.1中可能是一般保護性錯誤(GPF),一般是由於有兩個軟體同時使用了內存的同一個區域,但是即使知道原因也無法避免這一類錯誤。
用戶可以通過錯誤信息列出的程序和文件來研究錯誤起因,因為錯誤信息並不直接指出實際原因,如果給出的是「未知」信息,可能數據文件已經損壞,看看有沒有備份或者看看廠家是否有文件修補工具。
如果是Microsoft的軟體,你可以將程序名和錯誤信息作為關鍵字在Microsoft的站點進行搜索。例如我們到微軟的基本知識站點 http://support.microsoft.com/search中輸入「WORD97的非法操作輸入」,可以找到50多個文檔,說明可能產生的原因。也可以將文件名、錯誤操作和比較准確的原因做為關鍵字進行輸入,例如搜尋WORD?97、非法操作和kernel32.dll三項,就只會返回9條信息。
從微軟的站點返回的信息大約是DLL錯誤、軟體的BUG、在低端RAM運行或者是磁碟空間等問題,具體的彌補方法會因為問題的不同而有所區別,例如下載並安裝軟體的補丁、卸載並重新安裝特定的程序,或者不能同時運行某些程序等。
藍屏
錯誤信息:
要確定出現藍屏的原因需要仔細檢查錯誤信息,很多藍屏發生在安裝了新軟體以後,是新軟體和現行的WINDOWS設置發生沖突直接引起的。
出現藍屏的真正原因不容易搞清楚,最好的辦法是把錯誤信息保留下來,然後用「blue?screen」和文件名、「fatal?exception」代碼到微軟的站點搜索,以便確定原因。不幸的是,即使一個特定的軟體被破壞,藍屏也不能確定引起問題的文件是什麼,如果在藍屏上顯示了多個信息,那麼首先應該搜索第一條。
很多藍屏可以用改變WINDOWS設置來解決,大多數情況下需要下載安裝一個更新的驅動程序,一些藍屏與版本有關,應該確定你使用的WINDOWS版本,查看WIN?9X的設備管理程序可以確定這些信息。
資源耗盡:
經常有人會問,既然有了更多的內存,是不是可以運行更多程序,大多數用戶對此限制有些模糊。
一些Windows程序需要消耗各種不同的資源組合,GDI(圖形界面)集中了大量的資源,這些資源用來保存菜單按鈕、面板對象、調色板等等;第二個積累較多的資源則是USER(用戶),用來保存菜單和窗口的信息,第三個是SYSTEM(系統資源),是一些通用的資源。
這些資源在win3.x中受到的限制是很大的,在不發生GPE(一般保護性錯誤)和其他錯誤導致的資源耗盡的情況下只允許幾個為數不多的程序同時運行。WIN?9X由於限制放寬了許多,所以可以有很多程序同時運行,而WIN?NT才是唯一的對絕大多數資源完全不加以限制的微軟的操作系統。
在程序打開和關閉之間都會消耗資源,一些在程序打開時被佔用的資源在程序關閉時可以被恢復,但並不都是這樣,一些程序在運行時可能導致GDI和USER資源喪失,這也就是為什麼在機器運行一段時間以後最好重新啟動一次補充資源的原因。
決大多數用戶希望在出現非法操作或者藍屏之前能夠被提示資源佔用嚴重的情況,WINDOWS帶有一個資源測量儀(打開「開始」菜單,選擇程序、附件、系統工具)可以放置在工具欄上實時顯示關於GDI、USER和一些系統資源的佔用情況。
防止軟體故障的五個注意事項:
在安裝一個新軟體之前,考察一下它與你的系統的兼容性;
在安裝一個新的程序之前需要保護已經存在的被共享使用的DLL文件,防止在安裝新文件時被其他文件覆蓋;
在出現非法操作和藍屏的時候仔細研究提示信息分析原因;
隨時監察系統資源的佔用情況;?使用卸載軟體刪除已安裝的程序。
4. 關於監控一個指定的exe程序
看你的意思,主要是不想讓程序A被修改,那麼以下情況給你參考攔卜吧:
1、在當前的win中,程序A被系統載入並運行後,會有一部分基本上是固定不變的,這主要是代碼區,還有一部分是根據需要不停地變的,這是變數區,及其它緩沖區。
2、如果你想的是讓代碼區不被改動,這個要求很容易達到,因為它是固定的,你只要把這個區域的數據時行一下MD5碼的計算,或是使用更快速的某種方法進行一次校驗便可。但是基本上你要進行一次完全校驗,佔用的時間一定是不短的(簡模穗至少1秒以上),這種做法能保護程序的應有功能不被亂改,但不能保證變數不變亂改。此外相當的低效,很少有人這么做。
3、監視程序的啟動,一旦啟動把自己的dll hook進去 並攔截teProcessMemory API 看起來是有理的,但存在這樣幾個問題,首先這種程序一定需要管理員權下才能正常運行,其次,程序X可不可以先對付程序B,再對付程序A呢? 另外,程序B一但起動,某些正常的程序也可能受影響,比如金山快譯等。
4、最常見的做法是針對程序X的行為對關鍵部分的代碼進行監控,這樣監控的范圍就能大大地減少,可以達到0.01秒內完成任務,使用戶不會感覺到什麼,但這樣做的前提是知道程序X的行為具體是什麼。
5、其它的通用的做法是針對程序X的特點在內存現運行的程序中進行查找,一但發現進行處理。
6、以上兩個方法是最常用的做法。
7、破解與反破解始終是一對死冤家,在當前來說,似乎沒有碼跡好的解決方法,只能說設法讓破解的難度加大!
PS:「程序運行後如何md5效驗,這不開玩笑嗎?」不是開玩笑,MD5碼校驗並不專指對一個未運行的文件,MD5碼校驗是一種演算法。將內存中的數據抓出來進行MD5碼計算也並不是不可以的,當然,上面說過了,這種計算對機器要求過高,在實時運行中是不科學的,也是不可取的。
5. 監控某個軟體的所有操作
通過微軟的ProcessMonitor可以監控軟體
Process Monitor是來自微軟官方的一款高級監視工具,可以實時監控、報告Windows文件系統、注冊表、進程、線程的活動。
從界面上看,Process Monitor很像是被微軟收購了的Sysinternals的Filemon和Regmon,但事實上它是完全重寫的,並在Filemon和Regmon的基礎上進行了增強,比如監視進程線程的啟動和退出及其載入的DLL文件和內核驅動程序、豐富的非破壞性過濾、會話ID和用戶名等大量的岩做事件屬性、可靠的進程信息、全面的線程堆冊棗鏈棧、同步記錄到日誌文件、分析進程關系、州孫可刪除性搜索等等。
這些特性令Process Monitor成為一款強有力的系統診斷以及惡意軟體捕捉工具。
Process Monitor支持Windows 2000/XP/Server 2003/Vista等系統,包括64-bit版本。
下載地址:http://download.sysinternals.com/Files/ProcessMonitor.zip
使用教程和介紹:http://tech.163.com/digi/08/0627/10/4FEGR6HL00162OUT.html
http://technet.microsoft.com/zh-cn/sysinternals/bb896645(en-us).aspx
6. 系統小技巧:跟蹤監視系統或文件的細微變化
當軟體安裝修改了系統設置,或當病毒侵入系統體內時,就會造成文件的增刪或內容的變化。為了深入了解和掌握系統文件或用戶文件的變化情況,我們有必要跟蹤和監視系統設置或文件的變化情況。
我們知道,病毒防護軟體不是萬能的,它們往往或多或少地帶有一定的滯後性,殺毒軟體對有的病毒可能無法做到實時預防。這樣,自己動手監視系統或文件夾中文件的變化情況,也不失為一個預防的好方法。自己動手監視軟體對系統或文件的修改,其思路是在系統穩定的情況下保存系統配置的快照,然後將其與當前系統的快照進行比較,從而查看軟體對系統所做的修改。但遺憾的是,即便是最先進的Windows 10,系統自身並未提供這樣的快照工具,我們需要另想辦法。
1. 用微軟工具監視系統變化
我們首先可以使用微軟發布的應用程序Windows System State Monitor,來監視系統的變化情況。該程序可以監視的系統區域包括文件系統、注冊表、服務和驅動程序等。安裝時,根據不同的系統架構選擇32位或64位版的應用程序,執行自定義安裝,可看到包含Windows System State Analyzer和Windows System State Monitor兩個選項,需都選上。安裝結束後,在桌面上會生成4個圖標。
如果要監視Windows系統的狀態,用Windows System State Monitor模塊。運行之後顯示當前計算機名稱、用戶名稱、操作系統類型和當前日期。在下方的列表中,可選擇文件系統(File system)、注冊表(Registry)、服務(Services)、驅動程序(Drivers)等項目,選好之後點擊Start monitoring按鈕開始系統監視。
監視操作開始後,將該軟體窗口最小化,然後執行自己需要的任務;任務執行完畢後,按下Stop Monitoring按鈕停止監視。最後,按下Create Report按鈕,指定報告生成的位置,就會自動生成含有各種注冊表分支增刪改情況的log文件、一份DriversAndServices.html報告文件和一份TestResult.html報告文件。其中DriversAndServices.html報告文件記錄驅動和服務的變化情況,TestResult.html報告文件記錄文件系統的詳細變化情況。這些報告文件存放在一個以當前日期和時間命名的文件夾中。
小提示:
上述監視會跟蹤記錄系統的每一處更改。如果只需要對系統特定項目的更改加以監視,關注其中單個任務的變化情況即可。
如果需要比較兩個不同時點的系統快照,運行Windows System State Analyzer模塊。啟動軟體後可看到兩個選項卡,其中Snapshot為快照拍攝,分左右兩欄,按下Start按鈕可分別拍攝兩個不同時點的快照。
在默認的比較項目中,包含所有驅動器、注冊表分支、服務、驅動等選項,生成一份這樣的完整快照需要很長時間。因此,除非要比較整個系統項目情況的變化,否則不要急於按下Start按鈕生成快照。可先執行「Tools→Options」命令,進入選項設置窗口,通過Add或Remove按鈕,定製比較所需要包含的項目信息。然後返回到軟體主窗口,通過Snapshot name下拉列表按情況類別指定快照的名稱,最後再生成快照。
不同時點的兩份快照生成完畢後,點擊Quick comparison選項卡,查看兩個快照的不同之處。
小提示:
雖然生成完整的系統快照需要很長時間,但為了監視系統的變化情況,有必要在系統比較穩定時生成一份完整的快照,保存為BIN文件,以便在需要時進行載入並和當前生成的BIN快照文件加以比較。
2. 用第三方工具監視系統變化
除了用上述微軟工具來監視系統的變化外,我們還可以選擇第三方工具完成對系統或文件夾情況變化的監視。
如果希望能更容易地監視系統各區域的變化情況,可使用WinPatrol軟體,它可以讓我們有目標地著眼於系統啟動程序、延遲啟動、計劃任務、服務、活動任務、Cookies、文件類型、隱藏文件、最近訪問內容、系統注冊表等方面的變化。
若要監視某個文件夾中文件的變化情況,可使用FolderChangesView軟體。該軟體可選擇監控包括子文件夾在內的文件變化情況,可進行文件排除設置,可設置要監控的文件大小范圍,可按通配符以命令行的方式過濾要監控的文件,還可以設置當文件發生變化時以聲音提醒等。此外,還可以指定每隔一定時間就將文件的變化輸出到一個報告文件當中,報告文件有多種格式可選。
7. forticlient 監視自動啟動程序是什麼意思
FortiClient1.2是新一代個人電腦安全防護平台,擁有防病毒、防火牆、等強大的功能。尤其適合個人用戶和遠程辦公。帶有獨特的注冊表監視器,可以避免注冊表被惡意程序修改。這款套件使您遠離病毒、黑客、惡意攻擊、不良網站,是您的個人電腦的安全衛士。
一悉行孫般這種程序都是需要自動啟動來達到保護你電腦的安全,所以不是被別人監帶螞視睜鏈,而是防止被別人監視。
8. process explorer和process monitor有什麼不同
您好,很高興為您解答。
Process Monitor是一款系統進程監視軟沖敏件,總體來說,Process Monitor相當於Filemon+Regmon,其中的Filemon專門用來監視系統 中的任何文件操作過程,而Regmon用來監視注冊表的讀寫操作過程。 有了Process Monitor,使用者就可以對系統中的任何文件和 注冊表操作同時進行監視和記錄,通過注冊表和文件讀寫的變化, 對於幫助診斷系統故障或是發現惡意軟體、病毒或木馬來說,非常 有用。 這是一個高級的 Windows 系統和應用程序監視工具,由優秀的 Sysinternals 開發,並且目前已並入微軟旗下,可靠性自不用說。
PROCESS EXPLORER是由Sysinternals開發的Windows系統和應用程序監視工具,目前已並入微軟旗下。御判遲不僅結合了Filemon(文件監視器)和Regmon(注冊表監視器)兩個工具的功能,還增加了多項重要的增強功能。包括穩定性和性能改進、強大的過濾選項、修正的進程樹對話框(增加了進鎮李程存活時間圖表)、可根據點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框、更快的堆棧跟蹤、可在 64位 Windows 上載入 32位 日誌文件的能力、監視映像(DLL和內核模式驅動程序)載入、系統引導時記錄所有操作等。
如若滿意,請點擊右側【採納答案】,如若還有問題,請點擊【追問】
希望我的回答對您有所幫助,望採納!
~ O(∩_∩)O~
9. 有能打開一程序自動監視它從啟動到結束的所有進程對注冊表和文件系統的改變的軟體嗎
我說的就是任意軟體。歷族物以前的regmon和filemon能分別監控到注冊表和文件的訪問(具體穗野內容是不能記錄的,它只能檢測到軟體讀了什麼注冊表或者文件或者修改了肢液哪些)