怎么让process monitor能在windows突然蓝屏或者重启的时候记录下这时刻的所有进程数据呢？

youyiyang 2016-08-18 10:12:26

怎么让process monitor能在windows突然蓝屏或者重启的时候记录下这时刻的所有进程数据呢？
谢谢！

...全文

740 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

AccessChk: 显示指定用户或组对注册表文件或服务的访问 AccessEnum: 简单强大的安全工具，显示哪些用户访问了哪些目录、文件及注册键。帮助找出权限策略中的漏洞。 AdExplorer: 活动目录浏览器. AdInsight: LDAP 实时监控工具 AdRestore: Server 2003 活动目录对象反删除. Autologon: 登录时跳过密码认证. Autoruns: 显示开机自启动项的配置，比较实用。显示包括注册键和文件位置在内的全面列表。 BgInfo: 可配置的桌面背景自动生成程序，可以生成含有重要系统信息的桌面背景，其中包括 IP 地址, 计算机名, 网络适配器, 等信息. BlueScreen: 不但能精确模拟蓝屏还能重启 (完全借助 CHKDSK) DebugView: Sysinternals 的又一首创: 该程序可以拦截设备驱动对 DbgPrint 的调用和Win32程序对OutputDebugString 的调用. 程序可以浏览或记录本机或远程计算机上调试会话的输出，而无须激活调试器. Desktops：创建虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。 DiskExt: 显示卷分区与磁盘的映射关系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS) DiskView: 图形化磁盘扇区工具 Diskmon: 捕获硬盘的所有活动，或以硬盘活动指示灯的形式出现在托盘中。 Du: 按目录浏览磁盘使用情况 EFSDump: 显示有关已加密文件的信息 Filemon: 即时监视文件系统的活动 (监视文件读写，常配合RegMon判断某软件对电脑做了什么手脚) Handle: 小巧的命令行工具，显示呢哪些文件被哪些进程打开，及相关更多信息。 Hex2dec: 16进制-10进制互换. Junction: 创建 NTFS卷上的符号链接（类似Linux的符号链接，灵活运用的话相当实用） LDMDump: 可以转储 Logical Disk Manager 在磁盘中的数据库.(LDMDump) ListDLLs: 列出当前载入的所有 DLLs 及他们的位置和版本。2.0 版可以显示已载入模组的完整路径名. LiveKd: 在live(CD) 系统中使用 Microsoft 内核调试器或MS 内核调试工具Windbg . LoadOrder: 查看 WinNT/2K 中设备的载入顺序 MoveFile: 为下次启动前安排文件的移动和删除操作 LogonSessions: 列出系统中活动的登陆会话 NewSID: 了解有关计算机SID的问题，这是一个 SID 更改程序，为你换一个新的SID. NTFSInfo: 使用 NTFSInfo 查看有关 NTFS 卷的详细信息, 包括主文件表 (MFT) 的大小位置和 MFT-zone, 以及 NTFS 元数据文件的大小. PageDefrag: (启动时)为页面文件和注册表HIVE文件进行碎片整理. PendMoves: 列出延迟到下次启动前执行的文件移动、删除操作 Portmon: 监视串/并口的数据活动支持所有标准的串并口 IOCTLs 甚至可以显示一部分交换的数据. Process Explorer: 能找出进程打开的文件，注册键，以及其他对象,载入的 DLLs和进程所有者等信息。 Process Monitor: 实时监视文件系统，注册表，进程，线程以及DLL的活动. ProcFeatures: 报告进程或窗口对PAE与NX缓冲区溢出保护的支持情况. PsTools: 该命令行工具包提供列出本地/远程计算机进程、远程运行进程、重启、转储事件日志、及更多功能. PsExec: 在远程系统执行进程. PsFile: 查看本地被远程打开的文件. PsGetSid: 显示计算机或用户的 SID . PsInfo: 获取系统信息. PsKill: 终止本地或远程进程. PsList: 显示进程和线程有关的信息. PsLoggedOn: 显示已登陆系统的用户 PsLogList: 转储事件日志记录. PsPasswd: 更改账户密码. PsService: 查看设置服务. PsShutdown: 关闭或重启电脑. PsSuspend: 冻结或恢复进程. RegDelNull: 扫描并删除包含标准注册表编辑器无法删除的内嵌空字符的注册表键. RegHide: 使用内置 API 创建名为 "HKEY_LOCAL_MACHINESoftwareSysinternalsCan't touch me!0" 的注册键及在其中创建键值. Regjump: 在Regedit中跳转至指定的注册键路径. Regmon: 实时监视所有注册表活动 (监视注册表变化，可以配合FileMon来判断某软件在电脑上做了什么手脚) RootkitRevealer: 扫描系统中基于RootKit的恶意程序. SDelete: 兼容发国防部标准的安全删除程序，安全覆盖您的敏感文件并清理已删除文件留下的空闲空间. ShareEnum: 扫描网络上的文件共享并浏览其安全设置，来发现漏洞. Sigcheck: 转储文件版本信息并校验系统中的映像是否经过数字签名. Streams: 显示 NTFS 交换数据流 Strings: 在二进制映像内搜索 ANSI / UNICODE 字串. Sync: (释放磁盘写缓存)，发送缓存中的数据至硬盘/移动磁盘。 TCPView: 活动 socket 的观察器. (可以方便查看什么软件占用了什么端口之类的) VolumeId: 设置 FAT 或 NTFS 驱动器的卷ID Whois: 查看网址的所有者. Winobj: 对象管理器命名空间的查看利器. ZoomIt: 辅助演示工具支持屏幕上进行和画图.

为什么区块链必须是高并发的？ 1. 摩尔定律早已结束目前，提高并发性是解决人类计算能力的主要方向了。但是并发的编程模型一直受到来自上下两方的压力。2000年开始之际，人们已经意识到摩尔定律失效了。你不太可能期待着今年写的C代码在明年的时候能够被更快的处理器运行了。因为处理器性能的提升主要是通过堆积更多的core来完成。所以为了编写更快的代码，你要做的是编写并发式的程序，同时使用更多的核、更多的CPU、更多的机器。对于并发式的编程模型这就是来自于下方的压力。当今的主流商业应用软件都是跑在web端的，7乘24小时百万级以上的并发访问。人们已经无法想象一个运行在桌面的单机程序实现同样的商业价值。对于编程模型来说，这是来自于上方的压力。所以当我们谈论区块链时，我们需要明白支持并发性才能满足市场的需求。2. 线程模型并不理想线程模型是上世纪90年代提出的并发模型，线程模型广泛应用在Java虚拟机、CLR、.net虚拟机中，甚至应用于Erlang这样更高级的系统。线程模型失败的地方在于如果你在读一段Java或C sharp代码，你无法明白有多少个线程在里面。我们可以讨论并行性和并发性，也可以讨论并发式和分步式，前提是我们必须搞清这几个概念。并行性指同步进行的多项活动之间并不共享信息。就像一条八车道的公路，根本没有换道，那就是并行。当你开始允许换道时，不同的活动和线程之间出现交互，那就是并发。分布式就是把每一笔交易想像成一辆车，换道就是切换到不同的处理器上。分布式必然需要面对故障模式，如果允许单独某个任务失败，就带来了本地(local)的概念。线程有不同的概念，包括有操作系统线程和cpu内核的物理线程等等。我谈论的是虚拟机上提供并发性的编程模型。线程模型的问题是本质上在编程语言的语义层面并没有提供并发性的支持。我用语言集成查询作为一个例子，证明语言集成将最终胜出。语言集成查询开始于微软的函数式编程大牛Eric Meyer。数据存储的两个方法是：1，提供一个支持数据存储的库；2，提供一个查询的语言特性。在第一种情况下，并没有类型系统（type system）帮助你对查询进行语义检查。在后一种情况下，类型系统和编译器参与检查确保查询处于良好状态并且不会中断。在过去的十五年中，语言集成查询已经是最热门的话题之一。所以时间将会证明，语言整合的方法会稳步胜出。回到并发的话题，采用库的方法就是线程模式的思路。在语义层面的扩展就是Rholang、 Pict 或者Vim等移动进程演算（mobile process calculi ）的思路。type system保证了你在读一段Rholang程序时，能够看到有多少个进程在进行。同样的，如果你采用 pi calculus 或者 ambient calculus也可以具有同样的优势。3. DAO事件其实是一个并发问题并发性成为一种语法现象。因为它是语法，是可以对代码进行分析并检查各种并发属性的语法。一个非常好的示例是竞争条件（race condition）：两个事件是否有可能以任意顺序发生？DAO事件其实是一个并发问题，是竞争条件。如果有对应的语言表示，就可以通过语法分析（也称为静态分析），捕获这些错误。即使是熟悉并发问题的老程序员，仍然会不时地搞错，例如用餐哲学家(dining philosophers)或其他类型的问题，所在为并发编写算法是非常困难的。当我在八十年代末和九十年代初期在Rosette工作时，我注意到即使使用非常强大的编程语言，并发编程也是非常困难的事情。不幸的是编程理论停止了二三十年，市场好像卡住了。我惊诧于Javascript一直统治着浏览器平台。我计划开发一个基于Rholang的浏览器语言，使用Rholang从头编写浏览器。4.现在的区块链都错了大多数交易是孤立不相关的。大多数人的财务状况都是彼此分开的。当你去喝咖啡时，地球另一面的人在买菜，你们的交易不相关，在区块链世界中，这一点非常重要。如果我们必须对这些交易进行系列化，我们就走进了死胡同。所有的交易都必须经过一个虚拟机。如果那个虚拟机是顺序的（sequential），Transaction将不得不按线性排列，这正是以太坊虚拟机的模式。在这种情况下，无论是DAG还是区块，那都无所谓了。在区块链上使用序列化模型时，不可能有语言层面的并发的显式表示。因此无法使用静态分析来获得并发行为，并发都隐藏在幕后。这就像一个干净和纯粹的函数式语言和Java之间的区别。使用与lambda演算接近的函数式语言，你所看到的就是你所获得的。所有执行实际上都在代码中。而对于Java来说，程序中存在着一堆隐藏的状态：堆栈、线程数以及类似的东西都在代码中。

该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起加油~前文尝试了软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看，这是一款微软推荐的系统监视工具，功能非常强大可用来检测恶意软件。基础性文章，希望对您有所帮助~作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在

原总结注册表debug调试dump转储文件蓝屏BSODprocess monitor 前言我们在内核转储，开抓啦！这篇文章里介绍了一个关键的系统设置。设置好后可以让系统在蓝屏（Blue Screen of Death，简称 BSOD）的时候自动保存转储文件。那篇文章只是简单的介绍了设置步骤，本文力求详细的介绍相关内容。我们先根据下面的动图回顾一下设置步骤：系统转...

windows网络管理与配置

6,185

社区成员

60,364

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章