实验目的
学习Process Monitor实用小工具的使用，学会利用Process Monitor工具观察程序进程/线程、文件系统、注册表、网络连接等的活动。

预备知识
       Process Monitor是一个Windows系统下先进的监视工具，它可以显示文件系统、注册表、网络连接、进程/线程活动的确切时间。它结合了Filemon和Regmon两个Sysinternals的早期工具，并且增添了大量功能上的提升，例如丰富且无损的过滤器、全面的事件属性（会话ID、用户名、可靠的进程信息、完整的线程堆栈、同时记录到文件）。这个工具将会成为处理系统故障和恶意软件检测的核心工具。

实验环境
win7-64实验台
网络拓扑见下图：


实验内容和步骤
Process Monitor小工具的使用

（1）准备工作：打开Windows实验台，运行Win7系统。

（2）双击运行Process Monitor主程序，启动Process Monitor后，Process Monitor会自动扫描分析系统当前程序的运行情况。


（3）Process Monitor界面右上角的工具栏上的几个图标，分别表示注册表的读写、对文件的读写、网络的连接、进程和线程的调用和配置事件。

清楚这几个图标代表的意义是必需的，因为在监视记录里的操作类型就是以这些图标来区别的，同时也可以通过点击工具栏上的这几个图标来开启和关闭监视内容。如：去掉监视注册表读写，只需点击一下注册表读写按钮就行了。注册表读写界面如下图

（4）在默认情况下Process Monitor会监视系统内所有的程序运行情况，而通过在实际操作过程中我们只需对某个程序进行监视，即可使用过滤器功能进行过滤。
在菜单过滤器里点击过滤器，可以打开过滤器。

过滤器的操作也很简单，以只监视firefox为例，电脑上的firefox运行后的PID为12688，将这个12688增加进过滤规则列表内，界面就只显示此程序的活动信息了。

 （5）在指定的记录上右键->Jump to或点击界面上的绿色箭头图标，可以转到相应的注册表键或者文件上。


（6）其他设置还包括，打开、保存、备份文件，导入、导出配置文件，保存和导入过滤设置文件，字体设置等基本设置，不一一类举，使用时一看便知。

（7）例如，打开Lingoes词典划词查询一个单词。会立刻监视到线程打开、注册表信息配置、TCP连接信息、文件打开关闭读写等269个系统行为。

（8）应用：2010年，360隐私保护器曝出腾讯“窥私门”事件。无数网民发现，QQ聊天工具在暗中密集扫描电脑硬盘、窥视用户的隐私文件，并有人通过微软Process Monitor也发现了QQ窥私的秘密。请大家利用Process Monitor工具自行检测QQ运行时的活动行为，发觉哪些行为对于用户隐私泄露是可疑行为。

参考步骤：

1) 运行Process Monitor，在Filter菜单中设置监测过滤条件，包括：

     Process name is qq.exe, Include （监测并记录QQ进程的活动）；

     Path contains tencent, Exclude （排除QQ访问自身文件的活动）；

     Path begins with C:\Windows, Exclude （排除QQ访问系统文件的活动）。

  2) 在软件界面中选择Show File System Activity（QQ进程访问的文件），去除对注册表的监测显示，让监测结果更加直观。如下图所示：