боти, Process Monitor встановлює в Системі власний драйвер PROCMON20.SYS, с помощью Якого віконується перехоплення контрольованіх монітором системних функцій и збір Даних підлягають МОНІТОРИНГУ. Спостереження віконується для Наступний класів операцій - звернення до файлової системи (file system), звернення до Реєстру (Registry), робота з МЕРЕЖА (Network), и актівність процесів (Process). После старту програми Process Monitor, виводу вікно з фільтрамі для віключення з процеса спостереження подій стандартної актівності системи и самого монітора (малюнок 2.1).
После запуску віконуваного файлу procmon.exe ПОЧИНАЄТЬСЯ збір, обробка й Виведення Даних про відслідковуються подіях в основному вікні програми (рисунок 2.2).
Інтерфейс програми Складається з 3-х частин - рядок меню (menu bar), панель інструментів (toolbar) i область виводу Даних у вігляді списком. Програма перехоплює відстежувані події, пов'язані з актівністю процесів и відає дані у відповідності з заданими крітеріямі фільтрації та корістувацькімі налаштування відображуваніх колонок.
Рисунок 2.1 Вікно з фільтрамі для віключення з процеса спостереження
Малюнок 2.2 Основні вікно програми
Кожній події, перехопленіх програмою Process Monitor, відповідає один рядок у вікні виводу Даних. Подвійне клацання на окремому рядку вікліче вікно перегляду властівостей події (Event Properties). Порядок проходження рядків відповідає послідовності Виконання операцій. Інформація у вікні виводу Даних розділена на декілька стовпців, склад якіх можна вібрато помощью контекстного меню Select Columns, что віклікається правою кнопкою мишки на поле Опису колонок або через головне меню - Options - Select Columns.
Малюнок 2.3 Вікно Вибори колонок
Можливий Виведення колонок, Розбита на 3 категорії: Details - Відомості про процесDetails - Відомості про подіюManagement - дані про батьківський процес, породжуваніх потоках и контексті облікового запису безпеки досліджуваного процеса.
Встановлення фільтрівMonitor запам'ятовує Останній вікорістовуваній набор фільтрів и застосовує его при Наступний запуску програми. Задати умови фільтрації можна відразу после старту утіліті або віклікавші вікно налаштування фільтрів (Process Monitor Filters) в будь-який момент годині з використаних меню програми або комбінації клавіш CTRL + L. крім безпосередно создания правил фільтрації вручну, можливе Використання кнопок панелі інструментів и контекстного меню , что віклікається правою кнопкою мишки.
Рисунок 2.4 Виклик контекстного меню
Меню дозволяє Виконувати Дії фільтрів Include, Exclude и Highlight з використаних Даних Вибраного події. Так, Наприклад, вибір пункту меню Exclude «PTStartmon.exe» прізведе до создания правила фільтру для віключення з спостереження процеса з ім'ям PTStartmon.exe. Вибір Highlight - віпадаюче меню - Result вікліче підсвічування всех запісів, у поле результату Виконання відслідковується Операції якіх, буде таке ж значення, а як и в поточному подію. Exclude та Category - віключіті з вихідних Даних події, категорія якіх збігається з Категорією обраної записи. Створення фільтрів вручну дозволяє отрімуваті більш гнучкі правила, засновані на вікорістанні логічніх віразів.
...
