ファイルやレジストリにアクセスしているプロセスを調べる@Process Monitor

Sysinternalsから出ているProcess Monitorを使ってみました。
Process Monitorを使うと簡単にアプリケーションが使用しているファイルやレジストリの挙動が確認出来ます。

Process Monitorを使えば怪しいアプリケーションを発見したり、うまく動作しないアプリケーションがどこで躓いてるのか把握出来るようになります。

■ダウンロード〜インストール
現在の最新版はProcess Monitor v1.23です。
以下のサイトからダウンロードして適当なディレクトリに展開してください。これでインストールも完了します。

ダウンロード

■Process Monitorの実行

Procmon.exe

を実行します。

003.png
を起動すると”ソフトウェア許可条件”が表示されますので同意したら”Agree”をクリックします。

004.png
起動後、すぐに動作が開始します。やろうと思えばアプリケーションインストール時にこっそり書き込まれるレジストリ値も発見出来るでしょう・・・多分。

006.png
かなり直感的に使えるProcess Monitorですが、簡単にProcess Monitorのメニューを左から書きます。
■Capture:キャプチャ
プロセスのキャプチャを開始・停止させる事が出来ます。×が付いてるときは停止してます。

■AutoScroll:オートスクロール
有効にする事で常に最新のログを画面に表示させる事が出来ます。

■Clear:クリア
表示しているログを初期化させる事が出来ます。

■Filter:フィルタ
表示項目を絞り込みたい時に使います。

007.png
例えばResult(結果)がSUCCESS(成功)だった場合のみ画面に表示させたい場合には

Result is SUCCESS

と設定してください。

逆にResult(結果)がSUCCESS(成功)以外の場合、としたい場合には

Result is not SUCCESS

と設定します。

■Highlight:文字列強調
Highlightを設定した文字列が水色に表示されます。注目しておきたい文字列がある場合に設定します。

■Include Process From Window:画面からプロセスを取り込む
少し特殊な動作をするアイコンです。アイコンをドラッグしたままPIDを取得したいWindowまで持っていき、マウスクリックを放します。詰まるところWindowを指定するだけでPIDが取得出来るわけです。設定はFilter設定に追加されます。

■Find:検索
文字列を検索する時に利用します。

■Jump To Object:対象に移動
Pathに表示されたファイルパスまたはレジストリパスが直接参照出来ます。

■Show Registry Activity:動作中のレジストリ値を表示
動作中のレジストリ値を表示を表示します。

■Show File System Activity:動作中のファイルを表示
動作中のファイルを表示します。

■Show Process and Thread Activity:プロセス・スレッドの表示
動作中のプロセス・スレッドを表示します。

流れとしては

アンチウイルスアプリケーション等の挙動のフィルタリング

監視対象の特定

PIDの絞り込み

書き込み箇所の絞り込み

と、こんな感じで作業を行っていけばおそらく目的は果たせると思います。また、絞り込みを行う際にProcess Explorerを使うのも便利だと思います。

1 Comment

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です