Win764位下行为管理捕捉软件WindowsMonitor

选择字号： 超大 标准 技术小哥 发布于2015年01月05日 属于 工具分享 栏目  0个评论 35561人浏览

【特别声明】

1：关于运行工具后出现一个网页问题或会有一个外网IP121.42.77.147的TCP链接

      答：是由于程序BUG导致，连接的IP是博客的地址，可以ping www.cnit.net.cn看下。是用来做程序版本信息验证，下次有新版本发布可以及时做到提升用户升级，以及非网维大师环境限制使用功能，并非出现木马后门。

2：工具不带有任何形式的广告增值内容，本身就是一个排查问题的工具，也不推荐广大网友一直使用。

【工具特点】
1：免除安装一些监控软件的麻烦，运行程序后自动在目录下记录日志，静默收集进程创建过程信息。
2：并非驱动级，不会造成客户机蓝屏等情况。


【工具功能及用途】
最近在头疼病毒的事情，如果有此利器将减少我们不少的麻烦。
1：病毒运行情况探测，抓取最原始样本。
2：广告查询3：异常程序查询


【下载地址】
Win7、Win2008 32/64位

下载地址 进程监视20150305.rar （下载的话使劲戳这里）

【工具介绍】
程序可以通过开机命令直接调用，运行后有日志打印，日志名称默认为机器名+当前日期，路径默认为程序目录
程序运行后会首先将所有进程信息打印到日志内，避免后面监控进程创建时找不到父进程PID的情况。
每当有新进程创建，程序都会将进程的PID、名字、路径、父进程PID、父进程名称、父进程路径等信息打印到日志中
程序配套的还有一个config.ini配置文件，用来控制程序的拓展功能

--------------------------------------------------------------------------------------------------------------------------------------------------------

|[CFG]

|匹配目录路径=\process\        ；匹配拷贝程序的路径特征，带有\process\路径的都拷贝

|日志存放路径=                       ；默认为空，空的话就是当前程序目录，支持共享路径

|文件存放路径=                       ；默认为空，空的话就是当前程序目录，支持共享路径

|是否拷贝=no                         ；默认为no，no的话就是不开启拷贝功能，如果为yes则判断启动程序路径如果符合第一条匹配的目录则自动拷贝

|是否MD5计算=no                 ；默认为no，no的话就是不开启MD5计算功能，如果为yes则启动的进程都会进行MD5计算并写入日志

|是否监控进程退出=no           ；默认为no，no的话就是不开启程序退出监控，如果为yes则监控当前所有程序退出情况并写入日志

|是否监控dll加载=no              ；默认为no，no的话就是不开启dll加载监控，如果为yes则监控程序启动时候的dll模块

|是否监控文件操作=no           ；默认为no，no的话就是不开启文件操作监控，如果为yes则监控指定路径的文件操作情况

|监控文件操作的路径=C:\       ；默认为C盘，该路径为配合文件监控操作的路径

--------------------------------------------------------------------------------------------------------------------------------------------------------

 

【日志说明】

[File]为文件操作日志字段

[Process_dll]为程序加载模块字段，Handle为程序PID

[Process_cessexit]为进程退出字段，Handle为程序PID

【更新记录】

2015\03\05

1、优化配置文件采用中文表示

2、优化日志输出进程创建用中文来打印

3、收集客户机基本信息

      1、客户机IP地址，系统类别，分辨率等参数信息

4、新增文件监控

     1、时时监控文件创建、修改、删除

5、新增dll模块监控

6、新增进程退出监控

2015\01\06
1、将X86跟X64合并一个版本
2、修复因为进程用户权限问题导致父进程路径抓取为空
3、修复64位下MD5计算失败导致程序崩溃问题
4、新增日志上传功能
   1、日志打印路径可设置共享路径，例如logpath=//192.168.3.10/14Q2
   2、注意事项：这个里面的共享路径结尾最后不要带"/"，否则路径会出错
5、新增附件上传功能
   1、附件存放路径可设置共享路径，例如logpath=//192.168.3.10/14Q2
   2、注意事项：这个里面的共享路径结尾最后不要带"/"，否则路径会出错

2015\01\03
1、修复因为程序MD5判断失败导致父进程PID抓取为空
2、新增MD5控制开关
     1、默认采取不收集程序MD5信息，如需开启修改程序目录下config文件MD5字段，yes为开启，no为关闭
3、新增获取父进程名并写入日志，弥补出现傀儡程序退出后无法抓取文件
4、新增获取父进程路径并写入日志
5、因为涉及SYSTEM权限问题，程序将分为X86与X64两个版本。不允许夸版本使用。
6、优化配置文件，如果当前配置文件丢失自动释放一份默认的配置文件

2014\12\31
新增了预留配置接口功能
1、新增复制特定目录下的程序
     1、目标默认复制执行路径带"\AppData\Local\"下与"\Common Files\"字符串的所有程序
     2、预留了可自定义复制特定目录的，例如你复制"只要执行路径带NBMSclient的程序"你可以在config.ini配置文件中加把directory=后面写上\NBMSclient\即可
     3、该功能可控制，如果不需要把copy=yes 改成copy=no即可
2、日志打印位置可设置共享与本地磁盘
     1、默认为空，就是当前程序目录，你可以写E:\
3、拷贝程序目录可设置共享与本地磁盘
     1、默认为空，就是当前程序目录，你可以写E:\

备注：文章由顺网小哥原创，尊重他人劳动成果转载他出请标注原作者声明。

打赏

如果对你有帮助，快赞赏下作者吧。

标签：

• 上一篇：网维大师环境出现随机不出盘排查思路
• 下一篇：服务器系统日志报错科普

猜你喜欢